最近才在想MIS的工作已经比较稳定了. 结果昨天下午发生网站异常.
智邦打来说我家有一支 lottery 的程式一直用POST的方式上传档案.
这支程式是写在官网的一支抽奖登录程式. 让顾客消费后去登录.
是由各门市于门市电脑开启后. 放著让顾客登录用.
这程式在去年就已经有运作一年了. 想不到今年出了这个问题.
这是一支用yii架构写的程式. 去年曾经被机器人攻击.
后来就在程式一开头加上IP验证如下 :
if (empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$myip = $_SERVER['REMOTE_ADDR'];
} else {
$myip = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$myip = $myip[0];
}
// 透过IP找寻对应门市
$store = Store::model()->findByAttributes(
array('storeip'=>$myip)
);
然后判断这个IP有找到门市. 表示这是公司电脑. 才能开启登录页面.
而官网也有另一支抽奖. 是加入数字验证码后才免除这个问题.
但是重点来了. 明明这个月都没更新抽奖程式. 怎么会突然这样.
想起去年. 智邦工程师曾有打电话来. 说我网页最后被植入恶意程式码.
所以他发现后帮我移除. 然后说是我密码太简单的关系.
然后我就改了很复杂的密码 ..
我在想. 都没做什么. 网页忽然自己又发情. 会不会又是同样的问题啊?
目前是打算把程式都重上.
想问问各位版友. 有没有什么方法或方向可以提供给我. 我去检查或改善的.
===================================================================
话说小公司公开的抽奖网站. 真的有人无聊去攻击吗 Q.Q

最好是真正找出被黑的纪录去改善 也不一定是密码太简单智邦真的知道密码太简单... 这就囧了

HTTP_X_FORWARDED_FOR 是一个可以 FAKE的东西那只是一种参考用的东西，是无法作为正确IP的另外就是，很多人都没检查过IP的格式就举例来说 HTTP_X_FORWARDED_FOR 是可以伪造的你想填什么都无所谓，只要有一个基本的 http client object就可以生出一个 http request 到服务器上面去也因为这样，HTTP_X_FORWARDED_FOR 的资料被作为 ipIP 很少人会去特别验证格式，因此我可以在里面塞 html code套出你后台位置、cookie or sql injection

不好意思最近忙不少琐事. 谢谢版友的回复.因为目前没什么空去处理这个问题. 看起来好像也不好解 = =目前是先把程式重新上传一次就解决了. 真的给它很麻烦如果再发生.. 再跟上头争取时间做安全性的改善囉 Q.Q