Register_Globals

    Da ihr euch bestimmt bitterlich freut, daß ich mich auch wieder mal melde,
    komme ich gleich mit einer Frage ... :grummel:
    Ich habe ein altes Script das täglich von ein paar Stammusern besucht wird.
    Dieses Script funktioniert aber leider nur mit Register_Globals ON.

    Seit 2 Tagen wird dieses Script gehackt. Ich selber bin in PHP-Programmieren ein Taugenichts.
    Weiß jemand ob und wie man dieses Script noch retten kann ?
    Ich glaube gelesen zu haben ab PHP 6 funktioniert Register_Globals On sowieso nicht mehr.

    Das gehackte kann ich wieder aus der Datenbank entfernen, aber trotzdem ist das ein Mist.
    Normalerweise tragen sich die User täglich in dem Script ein.
    Heute Morgen war alles verschoben und es liefen Zeichentrickfilme und dumme Sprüche.
    Keiner hat sich eingetragen ... :cry:

    Gibt es eine Möglichkeit ohne das Script komplett umzuschreiben, um es sicherer zu machen,
    so das es nicht so einfach gehackt werden kann ? Jahrelang war alles gut, jetzt fängt der Mist an.
    Der Hacker hat zwar reingeschrieben das er mich jetzt in Ruhe lässt, aber mir lässt das keine Ruhe.
    Ich denke es liegt an einer Datei - die in der man Eintragungen machen kann.

    Das Script ist sicherlich nicht gehacket. Da pumpt wohl nur jemand über das Formular falsche Daten in das System und das Script prüft und filtert nicht.

    Zitat

    Gibt es eine Möglichkeit ohne das Script komplett umzuschreiben


    Nein. Das register_global "On" hat auch mit möglichen falschen Formulareingaben nichts zu tun, das ist nochmals eine andere Baustelle.

    Und ja, derartige falsche Formulareingaben werden gerne von Spammern benutzt aber auch von Witzbolden... Ich gebe zu, ich bin manchmal auch so einer, wenn mir einer dumm kommt ;) Da kann es dann schon mal passieren, dass der Inhalt einer Seite zu 90% auf display:"none" steht und der Rest in pink Größe 46 angezeigt wird ....

    Hacker gehen den Weg natürlich auch, wenn er denn da ist. Die hinterlassen aber in aller Regel keine dummen Sprüche oder nehmen sogar Stellung dazu. Die versuchen dann eher an das System selbst oder an die Datenbank ranzukommen.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Nun ja, sei es wie es solle - Du kennst ja dieses Script Syno, wir hatten schonmal was damit.
    Dann hoffe ich halt das der Spaßvogel damit aufhört - und wenn nicht werde ich es wohl löschen.

    Wichtige hinweise findet man normal in der Log Datei, da sollte man raus lesen können wo einer schwach stellen ausnützt.

    Um was für ein Script handelt es sich denn.
    Register_Globals ON Funktioniert auch nur noch bis PHP-5.3 also bald wir die Einstellung sowieso nicht mehr Funken.
    und safe_mode sollte auf jeden fall auf on sein.

    Ich habe die PHP Version 5.4.20, und in der PHP.ini kann ich Register-Globals auf ON stellen.
    Es ist ein altes Script wo man das Wetter eintragen kann. Also Ort, Temperatur usw.
    Und in der Eintragsdatei liegt wohl der Hund begraben.

    Jahrelang war Ruhe, jetzt meint einer er muß seine Scheiße hier loswerden.
    Da sind etwa 5-7 User die sich jeden Tag eingetragen haben.
    Ich nehme an das man in dem Quelltext der Eintragsdatei ev. was machen könnte.
    Aber ich bin zu dumm dafür und andere haben selber genügend zu tun ... :cry:

    Es ärgert mich nur das diejenigen, die sich schon so lange eingetragen haben,
    es nun nicht mehr können weil der Drecksack einfach nicht aufhört damit.
    Ich habe mal die eigentliche Eintragsseite mit einem Text versehen damit die
    Leute wissen wo sie dran sind. Später werde ich es nochmal versuchen, wenn
    es nicht klappt muß ich das Script leider entfernen.

    register globals kannste bei mir nicht aktivieren. selbst per overwrite nicht!
    das hat auch seinen grund, das ist einfach zu unsicher.
    safe mode ist bei mir allerdings off. bestimmte funktionen sind allerdings deaktiviert. auch das hat seinen grund.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Das hat bei dem Script nichts mit Register_globals zu tun. Wenn ich mich recht erinnere, dann wurde das Script auch schon soweit angepasst, dass man es deaktivieren könnte. Aber wie gesagt, das ist dort nicht das Problem.

    Das Script selbst ist sehr einfach. Ist ein Formular, das Daten entgegen nimmt und in eine Datenbank einträgt. Ein anderes Script ließt die Daten aus und zeigt sie an. Keines von beiden Scripten prüft auf Korrektheit der Daten. Es wird einfach alles so übernommen und in die Datenbank gepumpt (bzw. angezeigt), wie es der User ins Formular einträgt.

    Fridolin... Bitte nicht den Schädel abschlagen ...
    Du hattest gestern kurzzeitig einen Hinweis "Hier scheint die Sonne" ?? Das war von mir.

    Genau das meinte ich aber. Das dauerte keine 5 Sekunden und die Meldung war drinnen. Hätte auch gut eine Weiterleitung auf eine Pornoseite oder sonst was sein können.

    Wenn Du Glück hast, dann war das bisher nur ein Spaßvogel und er hört auf. Dann sind zwar die sinnlosen Einträge weg, aber das Problem nicht behoben. Wenn Das Formular mal auf eine richtiger Spammerliste kommt, dann viel Spaß. Ich sehe das bei mir, da sind einige Kontaktformulare drauf und jeden Tag kommen darüber zur Anfragen mit dubiosen "Viagra", "Poker" und "Porno"-Links rein. Mein System filtert aber, macht die Links unbrauchbar und sendet mir auch nur eine Mail, ist also öffentlich nie sichtbar - das stört die Spammer aber nicht, denn es macht auch keine Arbeitet, da automatisiert was rein zu pumpen.

    P.S. Was waren das denn für Einträgen? Nur sinnloses Zeug, aber harmlos oder andere Sachen?

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    @ Syno
    Das mit der Sonne habe ich mir halber gedacht das es von dir ist.
    Du wolltest es halt ausprobieren. Dieses Script läuft doch auf PHP 5.2
    Ich habe bei meinem Forum geschaut, dieses läuft auf 5.4
    Ich kann das einstellen. ( Noch )
    Ich habe gestern die Eintragungen deaktiviert, und dort einen Text reingeschrieben.
    Das die Leute wissen was loß ist. Hab auch schon E-Mail erhalten.
    Momentan ist das Eintragfeld wieder frei zum eintragen.

    Es waren eigentlich immer nur Spaßeinträge wie dumme Sprüche und Zeichentrickfilme.
    Schade drumm, aber ich hab keinen Plan wie ich das ändern kann.
    Ich habe mir schon überlegt die Seite mit einem Passwort zu sichern,
    und dieses den Eintragenden mitzuteilen.
    Das Problem ist, dann können sich keine anderen mehr eintragen.

    @ Rudolf Ratlos

    Ich gebe dir mal die URL per PN.
    Sonst kommen noch andere Spaßvögel auf die Idee mich zu ärgern.

    Also diese sinnlosen Texteingaben kann man gar nicht wirklich verhindern, das kann jeder und immer - sieht man ja auch am Spam hier im Forum. Das geht überall, wo freie Texteingaben sind, also bei Dir PLZ, Ort und Homepage.

    PLZ könnte man prüfen, ob das wirklich nur eine Zahl ist.
    Homepage könnte man auf eine gültige URL prüfen (Schreibweise)
    Den Ort kann man aber nicht abfangen, denn das kann alles mögliche sein.

    Die anderen Werte sind alle prüfbar, da hier vorgegeben Werte bestehen. Hier muss man also nur prüfen, ob der gesendete Wert überhaupt zur Auswahl stand.

    Bei den freien Texteingaben muss man zumindest ausführbaren Code verhindern (Ähnlich den URLs hier im Forum bei Neulingen. Der Code ist da, wird aber nicht ausgeführt). Das ist derzeit jedoch nicht der Fall. Ich hatte Dir nur ein Alert per JavaScript eingebunden. Der andere wohl einen Film. Ein Youtube-Video, iFrame und alles andere wäre hier auch möglich. Hier kann man nur verhindern, dass der Code ausführbar ist bzw. schon etwas filtern, ob da überhaupt einer drinnen ist. Automatisiert Löschen ist möglich. Aber ob die Eingabe einen Sinn ergibt, das bekommt man nicht geregelt, da es keine Vergleichswerte gibt. Also eine Eingabe wie "Hier regnet es Katzen" würde das System auf jeden Fall akzeptieren.

    So, das ist das mit dem Formular. Dann muss noch die SQL für die Datenbank abgesichert werden, denn das ist sie soweit ich weiß derzeit nicht.

    Allerdings ist das alles keine große Sache. Dein Script ist etwas wirr, aber nicht groß. Für das Eingabe-Script und das Ausgabe-Script schätze ich mal inkl. Tests so 1-2 Stunden, eher weniger. Wäre schön, wenn Rudolf sich das mal ansehen kann, denn aktuell fehlt mir die Zeit dazu.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    So, sehe gerade, das Formular ist wieder offline. Nun sehe ich auch mal die Einträge (waren vor meinem Post noch nicht da - so gegen 09:48 ). Das ist nun aber kein Spaß mehr, denn hier versucht einer auf Deinen Server loszugehen und Passwörter auszulesen. Die Zugriffe sind auch nicht per Hand (so wie meiner), sondern automatisiert. So schnell kann keiner Tippen und Senden.

    Ah, Du bist am Löschen. Ein SQL-Angriff wird auch versucht.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Diese verfluchten Dreckschweine, die elendigen.
    Mußte mindestens 40-50 Seiten mit jeweils 20 Einträge löschen.
    Ich lasse die Eintragsformular jetzt mal geschlossen.
    Das war bestimmt automatisiert, so schnell wie das ging.
    Ich möchte nur wissen was der Drecksack von einer privaten Seite hat.
    Bin grad froh das ich das noch rechtzeitig gemerkt habe, sonst könnte
    ich wohl 1000 Seiten löschen. Ich denke ich werde versuchen die Seite
    mit einem Passwort zu schützen. Aber jetzt habe ich erstmal die Schnauze voll.
    Irgendwann lösche ich mein ganzes Zeug und melde mich bei meinem Hoster ab.
    Diese sinnlose vergeudete Zeit geht mir langsam auf den Senkel ... :P

    Mal soviel vorab. Der Depp war sehr stümperhaft. Der hatte teilweise das gleiche Versucht wie ich und hat es nicht geschafft. Aber hätte er den richtigen Weg, dann hätte er eventuell auch Zugriff bekommen.

    Zitat

    Ich möchte nur wissen was der Drecksack von einer privaten Seite hat.


    Im Zweifel Dinge wie:
    Seite als Virenschleuder verwenden
    Server als Spamschleuder verwenden
    Server als Teil eines Botnet verwenden

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Zitat von Synonym;47232

    Der Verzeichnisschutz würde ihn blockieren, aber auch alle anderen Nutzer.


    Ich weiß, das ist das Problem.
    Aber es sind fast nur die gleichen Leute die sich eintragen.
    Denen würde ich das Passwort per E-Mail mitteilen.
    Schade drumm, aber es geht es wohl vorläufig nicht anderst.
    Erstmal besser wie nix ... :)

    Moin,

    statt die Seite zu sperren würde ich nur das Eintragsscript abschalten.
    new.php > löschen oder umbenennen dann kann die Seite am Netz bleiben und Du
    hast erst mal Ruhe.

    Dann die Frage woher stammt das Script? Quelle?
    Aber da ist Syno bestimmt Dein Mann der kennt das ja alles schon.
    Ansonsten Dein Fehler wenn Du so einen Schrott aus fremden Quellen einfach auf Deinen Webspace stellst.
    Das ist einfach nur naiv.

    Trotzdem einen schönen Sonntag noch ich geh jetzt meinen Bauch
    in die Sonne halten ....

    Sie dürfen nicht alles glauben was sie denken!

    (Heinz Ehrhardt)

    Zitat von Rudolf Ratlos;47253

    Moin,
    statt die Seite zu sperren würde ich nur das Eintragsscript abschalten.
    new.php > löschen oder umbenennen dann kann die Seite am Netz bleiben und Du
    hast erst mal Ruhe.


    Dann können sich die Stammuser aber nicht mehr eintragen.
    Jetzt hat jeder sein Paßwort und es sind wieder Einträge vorhanden.
    Außerdem kann man die Zugangsdaten bei mir anfordern, der es will.

    Zitat

    Ansonsten Dein Fehler wenn Du so einen Schrott aus fremden Quellen einfach auf Deinen Webspace stellst.
    Das ist einfach nur naiv.


    Ich habe vor Jahren mal angefangen mir Homepages zu basteln.
    Und damals war ich vielleicht etwas naiv, mag sein.
    Das Script ist alt, vielleicht hat man damals so programmiert, weiß der Kuckuck.
    Aber ich würde es trotzdem gerne behalten - dann mache ich es eben so und
    sichere das Verzeichnis. Waren ja schon wieder ein paar Einträge drinn heute Morgen.
    Geht doch. Erst wenn gar nicht mehr geht kommt das Script in die Tonne ... :yes:

    Übrigens, die Seite wo ich das Script herhabe gibt es schon länger nicht mehr.
    Darum habe ich auch den Link rausgenommen.

    Vermutlich etwas vermessen von mir mich da reinzuhängen aber auf die Schnelle braucht ja auch nur das Eintragungsscript mit einem Passwort versehen werden.
    Ist zwar Gefrickel aber News.php auf ein anderes Verzeichnis weiterleiten, dieses Verzeichnis mit Passwort schützen und da das gleiche script, das auf die selbe Datenbank verweist noch einmal installieren.

    Aber wie gesagt ist Gefrickel, bin auch in php nur ein interessierter Laie.

    Frei nach Dieter Nuhr
    Das Internet ist zum Lebensraum der Dauerbeleidigten geworden, die immer einen Grund finden, anderen irgendetwas vorzuwerfen, um sich selbst moralisch zu erhöhen.