Какой это метод взлома сайта?

Question

[Артем Гартунг]

Имеется полное логирование сайта. Хакер зарегался на сайте (простой набор бесполезных букв), после попытался в чате отправить пустое сообщение (стоит проверка на такие сообщения), после в странице вывода финансов попытался вывести деньги ( вот лог действий )

{"account":"P1099256013","wallet":"Payeer","cash":"300"}
{"account":"P1099256013","wallet":"Payeer","cash":"300"}
{"account":"P1099256013","wallet":"Payeer","cash":"200"}

При этом он обошел проверку баланса (выводил при нулевом балансе) и проверку аккаунта на верификацию.
ftp выключен, GET не паниковал на левые запросы которых нет на сайте. Как вообще такое возможно?

Comments

[alexalexes]

При этом он обошел проверку баланса (выводил при нулевом балансе) и проверку аккаунта на верификацию.

А у вас эти проверки где выполняются? На клиенте или на сервере.

[Артем Гартунг]

alexalexes, На сервере, сейчас пол сайта себе подчинил и когда переходишь в чат скачивается такой вот файл

[Артем Гартунг]

Артем Гартунг, сейчас просмотрел его это файл с моим кодом

[Артем Гартунг]

Артем Гартунг, при этом включая php код

[Рамис]

Артем Гартунг, Это может быть SQL-инъекция. Смотрите логи сервера, какие запросы делал пользователь.

[alexalexes]

Или у вас разрешено http пользователем запускать скрипты из любого подкаталога сервера, кроме самой точки входа (условного index.php, если у вас связка php+apache/nginx).

[Артем Гартунг]

alexalexes, в tmp были около 1к+ файлов с названием примерно sess_ff892a72747eb96792bf4978be107fca без какого либо формата. Сейчас закинул туда .htaccess с кодом

php_flag engine 0
RemoveHandler .phtml .php .php2 .php3 .php4 .php5 .php7 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html
AddType text/plain .phtml .php .php2 .php3 .php4 .php5 .php6 .php7 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html

в остальных местах именно сайта где не исполняется php уже лежит данный .htaccess

[alexalexes]

sess_ff892a72747eb96792bf4978be107fca

Это нормальная практика в темп сгружать сессии PHP. Сервер же не из воздуха формирует $_SESSION. Главное, чтобы сервер из исполняемых скриптов не имел к нему доступ.
Вообще, если в подкаталогах находятся скрипты, которые только подключаются к индексу, но не запускаются напрямую, то нужно указывать htaccess:

order deny,allow
deny from all

А в основном каталоге, где лежит индекс, нужно реврайтить все запросы на индекс (кроме запросов загрузки физических файлов - если это не исполняемые скрипты).
Идеально, если еще серверному пользователю php запретить создавать любые файлы во всех каталогах, особенно исполняемые файлы, а не исполняемые - только по белому списку каталогов (темповый каталог, каталог для документов, картинок, и т.д.).

[Артем Гартунг]

alexalexes, был использован ALFA_DATA exploit исходя из запроса "POST /ALFA_DATA/alfacgiapi/perl.alfa HTTP/1.0" 404 632"

[Артем Гартунг]

alexalexes, а есть возможность по подробнее объяснить?

[Кот Абсолютный]

Артем Гартунг,

в tmp были около 1к+ файлов с названием примерно sess_ff892a72747eb96792bf4978be107fca

Это просто сессии PHP, их место хранения настриавается в php.ini