Schrift
[thread]12366[/thread]

Ist das ein Exploit?

Leser: 1


<< >> 3 Einträge, 1 Seite
Escape
 2008-08-17 18:49
#113606 #113606
User since
2008-07-24
312 Artikel
BenutzerIn
[default_avatar]
Diesen Code finde ich (so oder ähnlich) immer wieder in meinen Logfiles
Code: (dl )
cgi-bin/Forum.pl?action=validate;_session_id_=6g7p4bGztrYTLxCpMsigv;regdate=121801+[R]+GET+/cgi-bin/Forum.pl?action=register+[R=302][0,21880,1064]+->+
Kann das jemand in Klartext umsetzen?

P.S. die session_id_ wird natürlich vom Script erzeugt und ist von mir hier gekürzt eingesetzt worden.
Die Deutsche Rechtschreibung ist Freeware; Du darfst sie kostenlos nutzen – aber sie ist nicht Open Source, d.h. Du darfst sie nicht verändern und/oder in veränderter Form veröffentlichen.
betterworld
 2008-08-17 19:12
#113609 #113609
User since
2003-08-21
2613 Artikel
ModeratorIn

user image
Hm, kommt mir gerade nicht bekannt vor.

Dieses [R=302] sieht nach mod_rewrite aus. Kann es sein, dass Du vielleicht kaputte mod_rewrite-Konfigurationen hast, die Weiterleitungen auf derartige URLs erzeugen?

Steht auch ein Referrer dabei? Das wäre vielleicht hilfreich, um den Fehler zu entdecken (wenn es ein Fehler ist und kein Exploit).
Escape
 2008-08-17 20:18
#113617 #113617
User since
2008-07-24
312 Artikel
BenutzerIn
[default_avatar]
Kaputte .htaccess scheidet aus.
Der Request kommt auch dann, wenn ich die .htaccess wegschalte.
Der Referrer beinhaltet einen 'normalen' Request auf das Forum (damit wird wohl nur geprüft ob die Website erreichbar ist).
[R] und [R=302] sollen sicherlich eine Weiterleitung bewirken.

Gut - ich habe ein Script geschrieben mit dem u.a. auch diese komischen
+[R]
+GET+
+[R=302][0,21880,1064]
+->+
erkannt und geblockt werden; aber ich wüßte doch gern, was ich da blocke.
Die Deutsche Rechtschreibung ist Freeware; Du darfst sie kostenlos nutzen – aber sie ist nicht Open Source, d.h. Du darfst sie nicht verändern und/oder in veränderter Form veröffentlichen.
<< >> 3 Einträge, 1 Seite



View all threads created 2008-08-17 18:49.