Apache Friends Support Forum

[Morgenstern]

Über eine meiner PHP-Seiten wurde Spam verschickt. Nach der Analyse der Logfiles suche nach POST habe ich herausgefunden, über welche PHP Seite die POST-Eingaben kamen und der Spam versendet wurde. Allerdings habe ich noch nicht herausgefunden, wo der Fehler (die Sicherheitslücke) im Script ist. Wie könnte ich weiter Vorgehen? Ist es möglich, herauszufinden, was für POST-Variablen versendet wurden?

[martinpre]

nein und das ist auch gut so, da meistens passwörter per Post verschickt werden!

natürlich kannst du über dein phpskript eigene logfiles schreiben und dort auch die post vars speichern

[Morgenstern]

Vielen Dank für die Antwort. Dann stelle ich halt einfach eine "Falle". Mal sehen, ob das funktioniert.

[KingCrunch]

Wie wärs es damit: Script überprüfen?

[Morgenstern]

Das war selbstverständlich auch mein erster Gedanke, nur komme ich leider nicht drauf, wie das vor sich gehen könnte. Wie kann man so etwas verhindern?

Auszug aus dem Logfile:

24.185.150.165 - - [08/May/2007:02:02:49 +0200] "POST http://diefehlerhafteseite HTTP/1.1" 200 38539 "http://meinedomain/" "-"

Die Grösse ist immer etwa gleich gross. Anscheinend werden keine $_POST Variablen übergeben. Wie kann der Bot dennoch Mails versenden?

[Wiedmann]

Anscheinend werden keine $_POST Variablen übergeben.

Woher weist du das?

[KingCrunch]

Code: Select all

24.185.150.165 - - [08/May/2007:02:02:49 +0200] "POST http://diefehlerhafteseite HTTP/1.1" 200 38539 "http://meinedomain/" "-"

Da steht sogar explizit POST und knapp 39kb fürn einfachen Request find ich recht happig (oder is das der Response?).

Was du dagegen tun kannst? Möglichst alle Werte so stark herausfiltern, dass sie keine ungültigen Werte mehr beinhalten können. zB hat die Empfänger-Adresse nichts im Formular zu suchen, eine E-Mail-Adresse (gemeint: Absender) hat ein bestimmtes Format, ...

[Wiedmann]

39kb ... oder is das der Response?

Yup.

[KingCrunch]

oookay, also alles ab "und" streichen

[Morgenstern]

Anscheinend werden keine $_POST Variablen übergeben.

Woher weist du das?

Ich habe ein Skript geschrieben, dass die $_POST Variablen loggd. Es wird allerdings nichts geloggd bei diesen Anfragen.

Empfänger-Adresse nichts im Formular

Es gibt kein Formular auf dieser Seite, deshalb stehe ich ja so auf dem Schlauch.

[KingCrunch]

Gibt es denn irgendein Script, dass irgendeine Mail-Funktion benutzt? Wenn ja, mal prüfen, woher er seine Inhalte bekommt. Wenn nein, dann mag das Problem wo ganz anders liegen. Schließlich kann man keine Funktion durch eine Lücke in einem Script ausnutzen, wenn das Script die Funktion garnicht benutzt

Oder verwendest du Variablen irgendwo als Funktionsbezeichner?

Code: Select all

$fkt = 'meine_function';
$fkt ('arg');


[Morgenstern]

Gibt es denn irgendein Script, dass irgendeine Mail-Funktion benutzt? Wenn ja, mal prüfen, woher er seine Inhalte bekommt. Wenn nein, dann mag das Problem wo ganz anders liegen. Schließlich kann man keine Funktion durch eine Lücke in einem Script ausnutzen, wenn das Script die Funktion garnicht benutzt

Oder verwendest du Variablen irgendwo als Funktionsbezeichner?

Code: Select all

$fkt = 'meine_function';
$fkt ('arg');


Das habe ich mich auch gefragt - es wird nirgends eine mail() Funktion verwendet. Allerdings bin ich der Sache auf der Spur. Vielen Dank auf alle Fälle für die Hilfe!