Hello,

Hello,

hab mal wieder eine kleine Attacke im Log entdeckt. Per Methode Post, aber trotzdem über den URL-Parameter kam z.B. der folgende URL-codierte String

-d allow_url_include=on
-d safe_mode=off
-d suhosin.simulation=on
-d disable_functions=""
-d open_basedir=none
-d auto_prepend_file=php://input
-d cgi.force_redirect=0
-d cgi.redirect_status_env=0
-n

>   
> (Die Zeilenumbrüche habe ich eingefügt, damit man es besser lesen kann.  
>   
> Wann könnte der Auswirkungen haben?  
> Welche hätte er dann?  
  
  
Die CLI-Hilfe sagt dazu:  
~~~apache
  
 -d foo[=bar]     Define INI entry foo with value 'bar'  
  
[/cose  
  
Was da im Einzelnen versucht wird, kann ich nur bedingt nachvollziehen:  
  
[code lang=apache]  
-d allow_url_include=on          Includes per URL erlauben  
-d safe_mode=off                 Den Safemode ausschalten, damit auch fremde Scripte geladen  
                                 werden können  
-d suhosin.simulation=on         ?  
-d disable_functions=""          Liste der verbotenen Funktionen ausschalten  
-d open_basedir=none             Zugriff auf den gesamten für den Prozess-User  
                                 erreichbaren Verzeichnisbaum freigeben  
-d auto_prepend_file=php://input Ein Vorlauf-Script über die Standardeingabe holen  
-d cgi.force_redirect=0          ?  
-d cgi.redirect_status_env=0     ?  
-n                               "Return" und ab damit...  

Nur steht der gesamte String mit ? angehängt als URL-Parameter.
Mir fehlt im Momant die Vorstellungskraft, wann der ggf. wirksam werden könnte.

Der bräuchte doch eine Shell. Dann wäre es allerdings fatal.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg