TC Blog

<?php echo md5(”just_a_test”);> ?

Bei einem unserer PHP-Scripte wurden in der jüngsten Vergangenheit Variablen durch eine URL ersetzt. So z. B.

http://www.asigurareamea.ro/upload_fisiere/agihixu/bezodan/ oder
http://www.tureksfuar.com.tr/joomla/mambots/content/ugi/vipo/

Ein Aufruf dieser URLs ergab folgenden Code als Ausgabe:

<?php echo md5("just_a_test");?>

Der Ursprung der Anfragen waren bisher meist Server von 1und1 im Shared Hosting Bereich. Mutmaßlich sind da einige Präsenzen übernommen worden, mal sehen was 1und1 dazu sagt. Schwierig leider. Denn über das Kontaktformular kann man keine technischen Hinweise absetzen. Dazu muss man Kunde sein. Hm, muss ich nun Kunde werden, um über eine potentielle gehijackte Webpräsenz zu informieren? Gut, auch ein Vertriebsmodell, aber so stark ist der Drang dann doch nicht. Ich habe mein Glück mit abuse@1und.de, security@1und1.de und sicherheit@1und1.de versucht. Und tatsächlich! Ich erhielt einen recht ordentlichen Auto-Responder von abuse@1und1.de - man verhält sich direkt mal RFC-konform. Hübsch.

Zurück zum Thema Es handelt sich bei der veränderten Variable zwar nur um die Vorstufe eines Angriffs mittels Remote File Inclusion, aber selbst das ist wohl mittlerweile schon strafbar. Ob 1und1 das interessieren wird? Immerhin ist die Angriffsform in der OWASP Top 10 2007 (Liste der “beliebtesten” Schwachstellen in Webanwendungen) direkt nach Cross-Site-Scripting (XSS) und Injection Flaws (wie z. B. SQL-Injection) auf Platz 3 gelandet.

Entsprechend dem abuse@ Auto-Responder werden wir es wohl nie erfahren.

Wir koennen nicht auf jede Anfrage individuell antworten, aber seien
Sie versichert, dass wir Ihrer Beschwerde nachgehen, sofern sie
konkrete Daten enthaelt.

[Eigenwerbung *hust*]
Achja: Da gibt’s auch einen Artikel zu beliebten Schwachstellen in Webanwendungen bei heise.de
[/Eigenwerbung]

/gt