Hello,

heute Nacht ist eine der von mir betreuten Webseiten angegriffen worden. Als vermeintlicher Verursacher konnte

NetRange:       74.119.232.0 - 74.119.235.255
CIDR:           74.119.232.0/22
OriginAS:       AS46506, AS16626
NetName:        SIMPLEHELIX
NetHandle:      NET-74-119-232-0-1
Parent:         NET-74-0-0-0-0
NetType:        Direct Allocation
Comment:        http://www.simplehelix.com
Comment:        Standard NOC hours are 24/7 CST
RegDate:        2009-11-19
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-74-119-232-0-1

OrgName:        SimpleHelix.com
OrgId:          SIMPL-62
Address:        4092 Memorial Pkwy SW
Address:        Suite 202
City:           Huntsville
StateProv:      AL
PostalCode:     35802
Country:        US
RegDate:        2009-10-12
Updated:        2011-12-27
Comment:        http://www.simplehelix.com
Ref:            http://whois.arin.net/rest/org/SIMPL-62

festgestellt werden. Habe ich da irgend eine Chance, etwas zu tun?

Der Ausschnitt aus dem Access-Log ist unter

http://selfhtml.bitworks.de/angriffsmuster/20140219_0929_access_log.txt

zu sehen. Der Server-Status 200 rührt daher, dass alle Anfragen, die nicht befriedigt werden können, auf die Haupt-index.php umgelenkt werden. Die unterschiedlichen Content-Lenght rühren von einer Kontrollausgabe (im HTML-Kommentar verpackt) in der die aktuelle Request-URL angezeigt wird.

Das werde ich nun mal rausnehmen aus dem Produktivbetrieb. Die Seite ist allerdings noch nicht fertig und ich benötige auch auf dem P-Server gelegentlich noch Kontrollausgaben. Der weicht in weinem Verhalten geringfügig vom Entwicklungsserver ab...

Na jedenfalls lasse ich dieses Beispiel mal so stehen, damit man den Leuten die immer mit

  
   file_get_contents($_GET['filename'])  

mal plastisch vorführen kann, warum das so schädlich ist.

BTW: kann man hier in [Code]-Blöcken eigentlich auch die Farbe steuern?

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg