Hallo,

bei der Durchsicht der geblockten IPs auf mein Projekt habe ich folgende beiden HTTP-Refferrer gefunden:

http://www.amd123.xpg.com.br/xroot.txt? (IP: 187.40.106.99 BR Zeit: 1254703115)

http://www.emailsmms.kit.net/upa.txt? (IP: 187.40.46.190 BR Zeit: 1254511980)

Weil ich ja neugierig bin, hab ich ja direkt mal gekuckt, was passiert, wenn man die Links aufruft

amd134 fängt z.B. So an:

"; echo "function ChMod(chdir, file) {"; echo "var o = prompt('Chmod: - Exemple: 0777', '');"; echo "if (o) {"; echo "window.location=\"\" + '{$fstring}&action=chmod&chdir=' + chdir + '&file=' ....


sieht mir aus, als ob da jemand versucht an meinen Dateirechten zu schrauben.

Und wo ich grad erst einen üblen DB-Crash hatte (und dementsprechend saure User :-D) würd mich ja schon interessieren, wie gefährlich ist das Teil ?

emailsmms Ausgabe scheint HTML / PHP Kauderwelsch zu sein, aber ich denk mal das Päärchen könnte u.U. schon Schaden anrichten, oder ?

Soweit ich das beurteilen kann versucht er da wirklich was an deinen dateirechten nur was genau da bräuchte man jetzt ein wenig mehr code vllt kann man da noch was draus lesen....

Soweit ich das beurteilen kann versucht er da wirklich was an deinen dateirechten nur was genau da bräuchte man jetzt ein wenig mehr code vllt kann man da noch was draus lesen....
Falsch Avira schlägt beim unteren link direkt an !!!
php caploit

hab mir den code mal angeschaut und muss sagen uff harter toback....
das benötigt weiterer betrachtung weil schwer zu unterscheiden ist ob er jetzt einen angriffscode schreibt oder ob er eventuell nur einen dateimanager für den server schreiben will.
und den noch nicht ausgereift hat.

Nettes kleines ding

Ja das war ein hack versuch

2 absichten, einmal die aktuelle seite zu attakieren, was hoffentlich kaum auswirkungen hat.
die andere, das du im admin bereich, auf den refferer klickst und somit deine session geklaut wird.

wobei mir das teil so aussieht, als wartet es auf ein INCLUDE

scheint mir ned ganz ausgereift zu sein.

Ich würde mal auf nummer sicher gehn, und den INCLUDE von HTTP verbieten.

Dacht ichs mir doch,

HTTP include geht bei mir nicht (hat mich seinerzeit zwar unheimlich geärgert, als der Hoster das abgestellt hat weil die Bequemlichkeit weg war ;-) - aber mittlerweile machts ja auch Sinn)

Und solche Links sind bei mir aus gutem Grund nicht Klickbar :-)

Da mach ich den Dillo auf weil der fast nix kann und kopier mir den link da rein ;-)

Nu fragts mich eigentlich nur noch, warum lassen die Ihren Code so offen auf dem Server rumliegen ?


Lg, Michael

Öhhm ok dan hab ich mich da wohl verschätzt aber warumm dan die öffnen und speichern geschichten als ausgabe???...

Hab auch grad ma die links nochma getestet die files sind runter *g*

scheinbar bemerkt worden.

Hab die Quelltexte natürlich abgespeichert...

Hi @ll

Der Quelltext liegt auf solchen Servern, damit sie anonym bleiben

Es gibt auch die möglichkeit anonyme DBs im netz zu haben und mit der oben gezeigt variante hat man eine mächtiges tool, das alles mitschreibt

Hab die Quelltexte natürlich abgespeichert...


Ich auch ^^ gut um zu lernen wie man sicherheitslücken schließt.

Ich auch ^^ gut um zu lernen wie man sicherheitslücken schließt.

hihi, ich werd mir mal demnächst nen server hier auf dem altenschlappi aufsetzen und mal schauen, was das teil so macht und vorhat.

hmm ^^ les den threat doch ma weiter oben dann bekommst du es auch raus das wurde shcon erklärt aber wenn du nen code hast der das verhindert (eventuell auch mit funkionierenden includes die bei anderen nich funktionieren weil auf dem server nicht gestattet zb.)

dan poste das ergebnis doch mal würde mich mal interresieren wie andere das lösen würden bei mir is da schon was in arbeit aber noch nix handfestes.....