Just for fun habe ich mal wieder meine 404er-Fehlermeldungen durchgesehen. Die bekommt der Leser immer dann, wenn er versucht eine Seite aufzurufen, die es nicht gibt. Dabei sah ich, dass seit dem 15.7. (also in drei Tagen ) fast 100 Aufrufe erfolgten, um sich in meinen Weblog zu hacken. Im Kern waren die Versuche alle gleich und versuchten einen Exploit zu finden, der Schadcode ausführt. Dazu sollte der PHP-Code von verschiedenen Servern gerufen werden.
Hier ein paar dieser Dateien, die man sich ruhig ansehen kann. Der enthaltene PHP-Code wird nicht ausgeführt, sondern einfach als Text angezeigt (und wenn würde er auf dem Server ausgeführt und nicht im eigenen Browser):
- http://www.proostjes.be/calendar/help01.txt
- http://beherit.interfree.it/cmd.txt
- http://sagem.ovh.org//a.txt
- http://www.coronaclub.it/pk_gallery/photos/25/11828333/idilegal.txt
- http://dicafree.com/zboard/DQ_LIBS/icon/safe1.txt
- http://www.shaker-diffusion.com/id.txt
- http://web246.webgo24-server11.de/Homepage/fightus/rfi-response.txt
- http://bratki2.ovh.org/templates/rhuk_solarflare_ii/images/.know/…/idbot5.txt
- http://www.bakowales.com/holo.dat?&list=1&cmd=id
Was macht man da? Soll ich die Betreiber der Seiten kontaktieren und um Löschen der Dateien bitten? Ich gehe mal davon aus, dass keiner der Angreifer so dämlich war die Datei von seiner eigenen Seite zu laden, oder?
[…] läuft eine PHP Code Injection grundsätzlich ab? Wie auf Glorf IT erwähnt gibt es jede Menge Angreifer, die versuchen durch automatische Spider das Web nach […]
Wie kann man denn sehen, welche URLs aufgerufen wurden?
Da gibt es eine harte und eine leichte Methode:
leicht: Ich habe für mein WordPress das PlugIn "log 404" installiert. Das zeigt die letzten einhundert 404er Fehler mit Aufruf an.
hart: Man kann die Log-Files, die man vom Provider bekommt, entpacken und nach "404" durchsuchen. Ich bekomme eines pro Tag.