Se bloqueó mi web por codigo inseguro

joakinMAX · #1 (**permalink**) 11/05/2009, 13:26

Que tal, tengo un gran problema, lo que pasa es que utilizo este código en mi index.php para mostrar diferentes módulos en mi página web:

Código PHP:

  <?php if($_GET['seccion']){ 
    include("$_GET[seccion]"); 
}else{ 
      include("home-atp.htm");} 
?>

para en los links, mandar llamar las páginas, por ejemplo, asi: index.php?seccion=remates/remates.htm

Mis conocimientos en php son muy básicos, ese código lo usaba la persona que estaba antes que yo cuando editaba la página, asi que lo que yo hice fue seguir utilizandolo. El problema es que brinkster, mi proveedor de hosting, ha bloqueado la página y me dijeron que tuvieron que remover permisos, esto fue lo que me dijeron:
"In order to protect our system it appears the index.php file was being used with injections to attack third party IRC servers"
"Customer's account is being abused on Yuma3. Their index.php file is being abused to inject and execute code to connect to an IRC Server. JTH"
""I have removed permissions from the file being abused on Yuma3. It is a code problem that is allowing scripts to be injected into thier site and using our systems to connect to third party IRC servers. This is not permitted. Actions were taken to protect our systems. "

Me dijeron que tengo que corregir el código de mi index php para que las cosas vuelvan a la normalidad, solo que no se como hacerlo.

Que puedo hacer? encontré un tutorial:
http://www.zonaphp.com/creando-webs-modulares/3/
donde explican como crear una web modular segura y ahi mismo dicen que el tipo de codigo que estoy usando no es la mejor opcion. Desgraciadamente hay muchas cosas que no entiendo y por eso quisiera encontrar una manera rápida para corregir mi problema mientras estudio y entiendo la manera de hacerlo correctamente.

Me urge bastante para mi trabajo, espero alguien pueda ayudarme, estaré muy agradecido!

joakinMAX · #2 (**permalink**) 11/05/2009, 15:30

He estado investigando un poco, y hace un tiempo un usuario, "David el Grande" me aconsejó utilizar switch en este post: http://www.forosdelweb.com/f18/error-codigo-php-678491/ estoy tratando de corregir mi problema de esa manera, solo que tengo muchas páginas y en diferentes carpetas como para colocar tantos case dentro del switch, de que manera puedo optimizar el código que me pasó David para adaptarlo a mis necesidades?

Código PHP:

  switch ($_GET['seccion']) { 
    case 'portada': 
    case 'otro': 
    case 'mas': 
        include $_GET['seccion'] . '.php'; 
        break; 
    default: 
        include 'home.php'; 
}

Por favor, ayuda!

pateketrueke · #3 (**permalink**) 11/05/2009, 16:04

pues puedes verificar que el archivo sea legal... osea, que este en una carpeta permitida

Código PHP:

  $seccion = $_GET['seccion'];

if (preg_match('/^(secciones|carpeta1|carpeta2|foo|bar|candy|etc)\//', $seccion))
{
  // OK
}

la idea es esta:

suponiendo que tus includes los tienes en carpetas, debe ser fiable... ¿como??

que todos los includes estén en secciones/ y con eso basta...

obviamente los uploads, deben estar en otra carpeta fuera de secciones/

si lo analizas un poco, es muy simple la manera de controlar esto...

joakinMAX · #4 (**permalink**) 11/05/2009, 16:09

Ahora encontré un código en esta página http://www.programacionweb.net/artic...iculo/?num=536
y le hice unas modificaciones:

Código PHP:

  <?php 
// Web Modular Simple | By alienmaster <[email protected]> - http://4cosas.com 
  
 $_GET['seccion'] = htmlspecialchars($_GET['seccion']); 
 $_GET['seccion'] = trim($_GET['seccion']); 
 if(!$_GET['seccion']){ 
    include("home-atp.htm"); 
 }else{ 
     $file = $_GET['seccion'].".htm"; 
    if(file_exists($file)){ 
        include($file); 
    }else{ 
        echo "La seccion a la cual intenta acceder no existe."; 
    } 
 } 
 
?>

quité una parte donde maneja una ruta porque mis páginas estan en diferentes carpetas, solo me faltaría hacer esta corrección a los links, en lugar de poner:

index.php?seccion=remates/remates.htm
pondria
index.php?seccion=remates/remates

Hay alguna manera de agregar algo al código para que le quite los 4 últimos caracteres a lo que se escribe en la barra de direcciones y lo deje sin la extensión, para no tener que modificar todos los links de mis páginas?

Mi pregunta es, es esto más seguro? me lo rechazará mi servidor de brinkster? Esto me ayuda o sigo en la misma situación? Alguien conoce otra alternativa para no tener que hacer tantas modificaciones? hay más de 100 páginas en mi sitio, por eso no puedo ponerme a editar todo desde cero.

Gracias de antemano, y mil disculpas si escribí alguna incoherencia en este post pero estoy desesperado

que de

Cita:

Iniciado por pateketrueke

pues puedes verificar que el archivo sea legal... osea, que este en una carpeta permitida

Código PHP:

  $seccion = $_GET['seccion']; 
 
if (preg_match('/^(secciones|carpeta1|carpeta2|foo|bar|candy|etc)\//', $seccion)) 
{ 
  // OK 
}

la idea es esta:

suponiendo que tus includes los tienes en carpetas, debe ser fiable... ¿como??

que todos los includes estén en secciones/ y con eso basta...

obviamente los uploads, deben estar en otra carpeta fuera de secciones/

si lo analizas un poco, es muy simple la manera de controlar esto...

Gracias por contestar pateketrueke! ya estaba perdiendo las esperanzas.

Como me dices tengo todos mis includes dentro de diferentes carpetas, una con el nombre de cada sección y en total son 15, solo que no entiendo bien la parte de codigo que me pusiste, en donde tendria que colocarlo?

Como ya lo mencioné antes, no se mucho de php, lo poco que manejo es con códigos que voy copiando de todos lados, trato de analizarlos pero no siempre le entiendo a todo. Me hace falta un buen curso para dominar por lo menos lo básico.

Te agradezco si me explicas con un poco más de detalle, gracias!

Otra cosa, que opinas de lo que coloqué en la respuesta anterior?, eso de if file_exists puede ayudarme en algo?

joakinMAX · #5 (**permalink**) 12/05/2009, 12:49

Bueno, hasta ahora solo he agregado este código a mi index.php, lo subi al servidor y funciona:

Código PHP:

  <?php 
// Web Modular Simple | By alienmaster <[email protected]> - http://4cosas.com 
 $carpeta = "";//carpeta donde tengas los files a incluir, si es en el mismo directorio dejar en blanco. 
 $_GET['seccion'] = htmlspecialchars($_GET['seccion']); 
 $_GET['seccion'] = trim($_GET['seccion']); 
 if(!$_GET['seccion']){ 
    include($carpeta."home.htm"); 
 }else{ 
     $file = $carpeta.$_GET['seccion']; 
    if(file_exists($file)){ 
        include($file); 
    }else{ 
        echo "La seccion a la cual intenta acceder no existe o esta en construccion."; 
    } 
 } 
 
?>

Mis dudas son, Que diferencia hay en este código y el que usaba anteriormente? Con esto he arreglado el problema de seguridad del que me hablaron los de brinkster? (lo que mencioné al principio de este tema).

Nuevamente, si algun conocedor pudiera checar este código y ayudarme.

Gracias de antemano.

SCY-FOX · #6 (**permalink**) 12/05/2009, 15:15

otra seguridad que recomiendo es usar

Código PHP:

  if (isset($_GET['seccion'])) {

 $seccion = mysql_real_escape_string($_GET['seccion']);
}

Y despues hacer un switch...