title image


Smiley Website mit angreifbarem Script --- Wer kann mir helfen?
Hallo!



Ich habe gestern abend eine E-Mail von meinem Webhoster 1und1 bekommen, in der zu lesen ist "[...]wurde die im Script $SCRIPT (Parameter $PARAM) bestehende Lücke ausgenutzt[...]".



Da mir das wenig bis gar nicht weitergeholfen hat, rief ich bei der Service-Hotline an, die mir zuerst nicht weiterhelfen wollte, da die Mitarbeiterin nicht wusste, ob sie mir diesbezüglich eigentlich helfen "darf". Nachdem ich sie etwa 10 Min. lang bearbeitet hatte, rückte sie (mit leiserer Stimme - anscheinend durften ihre Kollegen es nicht mithören?!) ein paar Details heraus.

Zum einen befand sich eine Datei auf meinem Webspace, die dort nichts zu suchen hat. Diese habe ich gelöscht. Allerdings ist das eigentliche Problem damit ja nicht behoben.

Mein Script scheint angreifbar zu sein, und es können Dateien auf meinen Webserver hochgeladen werden.



Jetzt zu meiner eigentlichen Frage: Wer kann mir behilflich sein, diese Sicherheitslücke ausfindig zu machen und mir zeigen, wie man diese beseitigt?



Ich bitte euch, keine Antworten zu geben, die den strukturellen Aufbau dieser Seite kritisieren, ich weiß selbst, dass Strukturierung mittels Tabellen nicht optimal ist. Jedoch liegt hier nicht mein derzeitiges Problem. Ändern werde ich es noch, allerdings erst, wenn der Rest in Ordnung ist :)

Nicht böse gemeint, aber es würde nicht zur derzeitigen Problemlösung beitragen.



Hier mein Code:




include("dbconnect.php");

?>









NCC Neustadt































Termine:


$timestamp = time();

$heute = date("Ymd",$timestamp);

$dbname = "db40718387";

$abfrage = "SELECT * FROM ncc_termine WHERE rechner >= '$heute' ORDER BY jahr, monat, tag";

$res = mysql_db_query($dbname, $abfrage);

$all = mysql_query($abfrage);



for ($gb=0; $gb<4; $gb++)

{

$id = mysql_result($res, $gb, "id");

$tag = mysql_result($res, $gb, "tag");

$monat = mysql_result($res, $gb, "monat");

$jahr = mysql_result($res, $gb, "jahr");

$info = mysql_result($res, $gb, "info");

$line = mysql_result($res, $gb, "line");

$terminrechner1 = mysql_result($res, $gb, "rechner");

$dings = $heute - $terminrechner1;

if($dings == 0)

{

$termin = "Heute";

}

else

{

$termin = "$tag.$monat.$jahr";

}



if($line != 1)

{

echo "

$termin: $info";

}

else

{

echo "

$termin: $info";

}

};

?>



































 






$page = $HTTP_GET_VARS["page"];

if($page=="")

{

$page1 = "start.php";

}

else

{

$page1 = "$page.php";

}

include("$page1"); ?>


















include("dbclose.php");

?>







€: Rechtschreibfehler ausgebessert

geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: