Hacking -> Links im Quelltext

Beitrag von **websolutions** » 22.07.2008, 15:04

Hallo,
ich baue meine Seiten auf ein eigenes CMS auf, dass nur aus PHP-Dateien und modrewrite besteht. Ich habe nun bei einzelnen Seiten gesehen, dass am Ende der index.php mehrere Links zu einer SPAM-Domain hereingesetzt wurde (image-bruyante.ch), was automatisch zu einem PHP-Fehler (falscher Syntax) geführt hat.

Wodurch sind solche Hacks möglich?
Bei includes() benutze ich nur feste Werte, keine Variablen, wodurch ich mir eigentlich sicher war, dass das Script nicht gefährdet ist. Kann es auch an Servereinstellungen liegen?

von **Anzeige von ABAKUS** »

Beitrag von **proit** » 22.07.2008, 15:27

Meine Glaskugel sagt mir, ...

Wie kannst du von jemanden der weder das Script kennt, noch deine Seite, noch deinen Server, noch deine Einstellungen, etc. erwarten, dass er dir auf deine Frage eine vernünftige Antwort geben kann?

Einfallstore gibt es jede Menge. In den meisten Fällen sind es schlecht programmierte Webanwendungen oder ungepatchte Server die das Einfallstor stellen. Jeder Fall muss aber einzel gehandhabt und untersucht werden. Ein einmal kompromitierter Server sollte vom Netz genommen werden, untersucht und wenn man die Schwachstelle gefunden hat, neu aufgesetzt werden.

Andere Foren sind hier aber duchaus hilfreicher als das Abakus.

Beitrag von **Southmedia** » 22.07.2008, 15:39

Kann es auch an Servereinstellungen liegen?

Ja.

von **Anzeige von ABAKUS** »

Beitrag von **elbwicht** » 22.07.2008, 15:42

hab dir ne pm geschrieben.

Beitrag von **websolutions** » 22.07.2008, 16:31

proit hat geschrieben:Meine Glaskugel sagt mir, ...

ich möchte auch keine lösung, sondern nur eventuell bekannte problemstellen bei servereinstellungen, die das erlauben. das script erlaubt keine includes und auch ein problem mit register_globals kann ausgeschlossen werden. werden die chmod rechte nun runter setzen. würde mich trotzdem über infos der "üblichen verdächtigen" freuen

Beitrag von **marc75** » 23.07.2008, 08:52

hast du eine Upload Funktion in deinen Scripten? Ansonsten am Server suchen würde ich sagen, da ja nach deinen Aussagen der Quellcode geändert wurde.

Beitrag von **websolutions** » 23.07.2008, 20:02

marc75 hat geschrieben:hast du eine Upload Funktion in deinen Scripten?

es gibt keine input-funktion in dem script. weder formular, noch eine Variable, die durch register_globals gefährlich werden könnte, noch freiheiten beim include(). es muss also serverseitig sein. da ich davon aber bisher wenig ahnung habe, wäre ich über ein paar problematische servereinstellung froh, die ich checken könnte.

edit: heute hat der hoster eine rundmail geschrieben, dass es ein serverseitiges problem war ("FTP-Hacks").