SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

Das Zend Framework

Das Zend Framework zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > MySQLi/PDO/(MySQL)

MySQLi/PDO/(MySQL) Anfänger, Fortgeschrittene oder Experten können hier Fragen und Probleme rund um MySQLi/PDO/(MySQL) diskutieren

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 09.03.2020, 12:04:56
gutu gutu ist offline
Anfänger
 
Registriert seit: Jan 2009
Alter: 73
Beiträge: 11
hackerangriff auf mysql

Hallo Expert*innen
Meine Seite www.bizilliance.com läuft problemlos. Aber folgendes bereitet mir Sorgen:
Habe auf allen Seiten eine Fehlerroutine eingebaut, die jeden Fehler in einer Datenbank vermerkt und mir ein mail sendet.
Seit einigen Tagen erhalte ich Hunderte Fehlermeldungen innerhalb von wenigen Minuten zu unmöglichen Zeiten (mitten in der nacht). Das sind sicher Hackerangriffe.
Das sind 2 Fehlermeldungen die am häufigsten auftreten:
2020-03-09 04:28:00 0 SQLSTATE[42000]: Syntax error or access violation: 1142 SELECT command denied to user /sql1615925/@/81.19.145.161/ for table /user/ Line 27 P /home/.sites/65/site1764132/web/index.php

2020-03-09 03:49:00 0 SQLSTATE[21000]: Cardinality violation: 1222 The used SELECT statements have a different number of columns line 27 /home/.sites/65/site1764132/web/index.php

Beide beziehen sich auf meine Homepage, wo ich Tickermeldungen aus der Datenbank lese:
PHP-Code:
25    $sql="select * from hometicker where sprache='".$sprache."' order by id";
26    $_SESSION["sql"]=$sql;
27    $stmt $pdo->query($sql); 
Habe versucht, den SQL über eine Session in die Fehler-Datenbank zu schreiben. Ist aber leider immer leer.
Bei der ersten Fehlermeldung versucht der Hacker offensichtlich eine Tabelle „user“ auszulesen, die es aber gar nicht gibt. Mit der 2. Meldung kann ich gar nichts anfangen.
Kann mir bitte jemand Tipps geben, denn ich bin sehr beunruhigt.
Liebe Grüße aus Salzburg
Uwe
Mit Zitat antworten
  #2  
Alt 09.03.2020, 15:37:12
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.707
AW: hackerangriff auf mysql

Den wichtigsten Tipp den man Dir hier nur geben kann, regelmäßig das SQL-Passwort zu aktualisieren und dabei aufbestimmte Notwendigkeiten achten (Groß-/Kleinschreibung, Zahlen, Sonderzeichen, Länge >= 10 Zeichen).

Kommen die Attacken immer von den gleichen IP-Adressen? Dann sperren.
Sind es immer die gleichen Browser Strings? Dann sperren.
Schau Dir an mit welchen Parametern Deine Seite aufgerufen wird (GET/POST) - sperren.

Es git kein Allheilmittel. Du kannst es den Angreifern nur so schwer wie möglich machen.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #3  
Alt 10.03.2020, 09:38:22
gutu gutu ist offline
Anfänger
 
Registriert seit: Jan 2009
Alter: 73
Beiträge: 11
AW: hackerangriff auf mysql

Herzlichen Dank für die rasche Antwort! Finde ich toll!
Das PW für die Datenbank hatte ich vor einigen Wochen geändert und es ist sehr komplex.

Was ich nicht verstehe ist, dass immer die Zeile 27 als Fehler gemeldet wird. Es muss dem Hacker gelungen sein, meine index.php auszulesen und dort den SQL Befehl zu ändern.
Daher habe ich den SQL String in eine Sessionvariable gespeichert, die dann in der Fehlerroutine in die Fehlertabelle geschrieben wird.
Aber der String ist leer!?
Hätte ich diese Fehlerroutine nicht programmiert, wüßte ich davon gar nichts. Hätte das alles gerne verstanden.
Beste Grüße aus Salzburg
Mit Zitat antworten
  #4  
Alt 13.03.2020, 10:52:15
chorn chorn ist offline
Junior Member
 
Registriert seit: Apr 2016
Alter: 44
Beiträge: 171
AW: hackerangriff auf mysql

"The used SELECT statements have a different number of columns" weist darauf hin, dass UNION benutzt wurde, was Ergebnisse aus zwei Statements aneinander klatscht, was natürlich nur geht, wenn die Spalten identisch sind, was hier offensichtlich nicht der Fall ist.

Sowas hier:

Code:
$sql="select * from hometicker where sprache='".$sprache."' order by id";
sollte in deinem Code NIEMALS auftauchen, Variablen in SQL-Statements sind praktisch immer ein klares Anzeichen für eine SQL-Injection-Lücke

https://de.wikipedia.org/wiki/SQL-Injection

und die Fehlermeldung weist darauf hin, dass dein Statement verändert wurde. Du nutzt ja scheinbar schon MySQLi oder PDO, dann bau das auf Prepared Statements um:

https://www.php.net/manual/de/pdo.pr...statements.php
Mit Zitat antworten
  #5  
Alt 14.03.2020, 18:00:53
gutu gutu ist offline
Anfänger
 
Registriert seit: Jan 2009
Alter: 73
Beiträge: 11
AW: hackerangriff auf mysql

Danke für die Antwort. Ich verwende sonst prepared, wollte aber in diesem Fall den Inhalt der Sql wissen, was mir aber ohnehin nicht gelungen ist.
Mit Zitat antworten
Antwort

Stichworte
hackerangriff, sqlstate[21000], sqlstate[42000]


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Brauche Hilfe Partygirl MySQLi/PDO/(MySQL) 10 01.03.2011 09:18:11
MySQL 4 "große" Abfragen coder90 MySQLi/PDO/(MySQL) 0 06.09.2008 14:45:08
Mysql startet nicht oberonal MySQLi/PDO/(MySQL) 3 24.11.2006 10:41:31
MySQL Page Script. Problem. dtone MySQLi/PDO/(MySQL) 8 15.10.2006 15:58:06
MySQL - ORDER BY RAND() und PHP MacMarc PHP Grundlagen 15 05.12.2002 23:23:39


Alle Zeitangaben in WEZ +2. Es ist jetzt 02:02:47 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


© 2001-2024 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt