Fragwürdige Hackversuche?

Fragen zu allen Themen rund ums Programmieren außerhalb von phpBB können hier gestellt werden - auch zu anderen Programmiersprachen oder Software wie Webservern und Editoren.
Antworten
fanrpg
Mitglied
Beiträge: 2909
Registriert: 13.12.2004 22:41

Fragwürdige Hackversuche?

Beitrag von fanrpg »

http://www.fanrpg.de/mods/show_ip.php?e ... 35.179.228
Guckt euch das mal an was der da alles versucht hat, zum Glück habe ich mich vor so nem Zeug alles abgesichert.

Aber jetzt meine Fragen:

1) Sind das nur Spielereien aus Langeweile oder wirkliche Hackversuche?
2) Was für Sicherheitslücken kann folgende Methode haben? (Damit man fremde Code includen kann)

Code: Alles auswählen

if($mode == 'include')
{
	switch( $path ) {
		case 'start':
		include($cms_root_path . 'start.'.$phpEx);
		break;
		case 'mods':
		include($cms_root_path . 'mods.'.$phpEx);
		break;
		case 'modsschreiben':
		include($cms_root_path . 'modsschreiben.'.$phpEx);
		break;
		case 'modsgefahren':
		include($cms_root_path . 'modsgefahren.'.$phpEx);
		break;
		case 'links':
		include($cms_root_path . 'links.'.$phpEx);
		break;
		case 'downloads':
		include($cms_root_path . 'downloads.'.$phpEx);
		break;		
		default:
		die('<meta http-equiv="refresh" content="0; url='.$phpbb_root_path . 'cms.'.$phpEx.'?mode=error&site=404" />');
	}
}
else if($mode == "error")
{
	switch( $path ) {
		case 404:
		message_die(GENERAL_ERROR, 'Kann die Seite nicht finden - File not Found #404', '', '', '', '');
		break;
		case 600:
		message_die(GENERAL_ERROR, 'Du hast hier keinen Zugriff drauf', '', '', '', '');
		break;
		case 500:
		message_die(GENERAL_ERROR, 'Der Server konnte die Anfrage nicht bearbeiten', '', '', '', '');
		break;
		default:
		die('<meta http-equiv="refresh" content="0; url='.$phpbb_root_path . 'cms.'.$phpEx.'?mode=error&site=500" />');
	}
}
Nach oben
Benutzeravatar
QCO
Mitglied
Beiträge: 708
Registriert: 15.03.2003 12:30
Wohnort: Leipzig

Beitrag von QCO »

Also potentiell gefährlich ist hier alles, was innerhalb von include() auftaucht.
Das wären aber nur $cms_root_path und $phpEx.
Du musst darauf achten, dass die beiden immer initalisiert sind, damit man sie nicht über register_globals oder andere dunkle wege setzen kann.
Schnelle direkte Hilfe? Modeinbau? Umfassender, persönlicher Support? Ein individuelles Design/Template?
Ich bin käuflich und löse zu kleinen Preisen Deine Probleme. Anfragen bitte per PN oder Mail.
Nach oben
IPB_Flüchtling
Mitglied
Beiträge: 1862
Registriert: 23.12.2004 22:46

Beitrag von IPB_Flüchtling »

@fanrpg:

Ich finde, Du solltest das nicht auf sich beruhen lassen und weitere Schritte gegen den lieben Menschen einleiten, der da versucht hat, Dich zu schädigen.

An wen Du Dich wenden kannst, findest Du hier: http://whois.sc/83.135.179.228

Solche Leute gehören einfach aus dem Verkehr gezogen - selbst wenn sie zu blöd sind, um wirklich Schaden anzurichten.

LG, IPB_Flüchtling
Nach oben
fanrpg
Mitglied
Beiträge: 2909
Registriert: 13.12.2004 22:41

Beitrag von fanrpg »

Hmm würde es reichen anstatt Variabeln wo der Pfad zum CMS System drin steht einfach Konstanten nehmen?
Also anstatt:

Code: Alles auswählen

$cms_root_path = $phpbb_root_path.'cms/';
das hier zu nehmen:

Code: Alles auswählen

define('CMS_ROOT_PATH', $phpbb_root_path.'cms/');
Oder auch am Besten $phpbb_root_path weglassen?
Nach oben
Benutzeravatar
QCO
Mitglied
Beiträge: 708
Registriert: 15.03.2003 12:30
Wohnort: Leipzig

Beitrag von QCO »

Na ja, wenn bei dir die PHP-Option register_globals auf Off steht (was sie bei neueren PHP-Versionen eigentlich ist), bist du diesbezüglich auf der sicheren Seite.
Schnelle direkte Hilfe? Modeinbau? Umfassender, persönlicher Support? Ein individuelles Design/Template?
Ich bin käuflich und löse zu kleinen Preisen Deine Probleme. Anfragen bitte per PN oder Mail.
Nach oben
Antworten

Zurück zu „Coding & Technik“