Der Martin: Über 1800 Aufrufe meiner Webseite Hacker-Versuch?

Beitrag lesen

Hallo,

Heute morgen 5:28 und 5:29 kamen 211 Aufrufe in dieser Form:

/?TID=17540+%2F%2A%2A%2F%27%2F%2A%2A%2FOR%2F%2A%2A%2F1%2F%2A%2A%2FGROUP%2F%2A%2A%2FBY%2F%2A%2A%2FCONCAT%280x6167754e%2C%28SELECT%2F%2A%2A%2FMID%28IFNULL%28USER%28%29%2C%2F%2A%2A%2F0x20%29%2C1%2C55%29%29%2C0x7241306a%2CFLOOR%28RAND%280%29%2A2%29%29%2F%2A%2A%2FHAVING%2F%2A%2A%2FMIN%280%29%23--%2F%2A%2A%2F-

lass uns mal die URL-Codierung auflösen und einen Schritt in Richtung Klartext gehen:

/?TID=17540+/**/'/**/OR/**/1/**/GROUP/**/BY/**/CONCAT(0x6167754e,(SELECT/**/MID(IFNULL(USER(),/**/0x20),1,55)),0x7241306a,FLOOR(RAND(0)*2))/**/HAVING/**/MIN(0)#--/**/-

Ergibt das irgendeinen Sinn? Stufe 2: Lass uns die leeren Kommentare entfernen.

/?TID=17540+'OR 1 GROUP BY CONCAT(0x6167754e,(SELECT MID(IFNULL(USER(), 0x20),1,55)),0x7241306a,FLOOR(RAND(0)*2)) HAVING MIN(0)#---

Sieht für mich nach einem stümperhaften SQL-Angriff aus.

In den SQL-Kommandos werden die Daten mit addslashes behandelt.

Das ist Unsinn.

Allein, um die abzuwehren ist der Server ja beschäftigt. Aber kann das Schaden an den Daten anrichten? Was wird da versucht?

Solange dein Script oder dein DBMS das als Unsinn erkennt und abweist, ist ja alles okay. Das ist dann etwa so, als ob jemand mit einem x-beliebigen Schlüssel probiert, ob der nicht vielleicht zu deiner Wohnungstür passt.

May the Schwartz be with you
 Martin

--
Wenn ich den See seh, brauch ich kein Meer mehr.