Seltsamer Code im Request

[delta]

Kann jemand von Euch sagen, was dieser Code

Code:

http://meine_domain.de/cgi-bin/meinscript.pl?action=new&lang=1&sess_id=+[PLM=0]+GET+http://meine_domain.de/cgi-bin/meinscript.pl?action=new&lang=1&sess_id=+[0,20387,22576]+->+[N]+POST+http://meine_domain.de/cgi-bin/meinscript.pl+[0,0,4152]

anrichten/bewirken soll?

[schlumpfi]

ich splitte mal auf und erkläre kurz...
kann leider nicht ausführlich erklären, da originale weburl nicht gepostet..
ggf ausführlicher per pn und originalem querystring...

=> die eigentliche anfrage an eine datei auf dem webserver mit den nachfolgenden seriösen commands...

http://meine_domain.de/cgi-bin/meinscript.pl?action=new&lang=1&sess_id=...

=> ab hier wirds tricky..
mit dem command sess_id wird normalerweise eine session_id erzeugt, um dich zu identifizieren..
hier wird aber versucht mittels "GET" und einer externen url "+http://..." eine andere datei auf fremden servern einzufügen, die schadhaften code ausführt...

&sess_id=+[PLM=0]+GET+http://meine_domain.de/cgi-bin/meinscript.pl?action=new&lang=1&sess_id=+[0,20387,22576]+->+[N]+POST+http://meine_domain.de/cgi-bin/meinscript.pl+[0,0,4152]

sollte aber durch ctxtra auch in 1.5.0.6 geblockt werden...

mfg

[delta]

Wie Du sicher übersehen hast, wurde damit ein Perl Script angegriffen - CTXtra Schutz scheidet also aus.
Geblockt habe ich solche Angriffe via Pattern Matching (jeder Request wird gecheckt); das Ding konnte also kein Unheil anrichten.

Wenn ich geschrieben habe:
http://meine_domain.de
dann beziehen sich sich beide Bezeichner darauf.
Es wurde also nicht versucht, den Inhalt einer Datei die auf einem anderen Server liegt, einzufügen.
Das ist es ja was mich stutzig macht.

Hab auch nicht den geringsten Schimmer einer Ahnung, was die Ziffern in den eckigen Klammern bedeuten.

[schlumpfi]

wenns dich beruhigt... ist bei mir auch...bei mir blockt er aber   
habs mir ehrlich gesagt nicht näher angesehen... will ich auch gar nicht, hab nicht die zeit dazu

naja, mit "meineurl" als target is schon komisch... mal gegoogelt?

Variante 1:

gb_addentry.php?+[PLM=0]+GET+http://meineurl/gb_addentry.php?+[0,43367,4112]+->+[N]+POST+http://meineurl/gb_addentry.php+[0,0,45411]

Variante 2:

gb_addentry.php?+[PLM=0]+GET+http://meineurl/gb_addentry.php?+[0,43367,3952]+->+[N]+POST+http://meineurl/gb_addentry.php+[0,0,2583]+->+[N]+GET+/?http://210.240.238.25+[0,0,1452]

Variante 3:

gb_addentry.php?+[0,43631,4086]+->+[N]+POST+http://meineurl/gb_addentry.php+[0,0,45432]

Variante 4:

gb_addentry.php?+%5BPLM=0%5D+GET+http://meineurl/gb_addentry.php?+%5B0,43367,3952%5D+-%3E+%5BN%5D+POST+http://meineurl/gb_addentry.php+%5B0,0,2583%5D+-%3E+%5BN%5D+GET+/?http://210.240.238.25+%5B0,0,1452%5D+[PLM=0]+GET+/gb_addentry.php?+%5BPLM=0%5D+GET+http://meineurl/gb_addentry.php?+%5B0,43367,3952%5D+-%3E+%5BN%5D+POST+http://meineurl/gb_addentry.php+%5B0,0,2583%5D+-%3E+%5BN%5D+GET+/?http://210.240.238.25+%5B0,0,1452%5D+[0,43367,4129]+->+[N]+POST+http://meineurl/gb_addentry.php+[0,0,52971]

[delta]

Also nochmal zum besseren Verständnis:
http://meine_domain.de
gibt's natürlich nicht - das ist ein Synonym für meine tatsächliche URL.

Und natürlich blockt mein Script diesen Request 

Trotzdem hätte ich gern gewußt, was die einzelnen Sequenzen dieses Code bedeuten.

Danke für Deine Mühe!

[schlumpfi]

Also nochmal zum besseren Verständnis:
http://meine_domain.de
gibt's natürlich nicht - das ist ein Synonym für meine tatsächliche URL.

mir schon klar 

Trotzdem hätte ich gern gewußt, was die einzelnen Sequenzen dieses Code bedeuten.

hatte ich oben im groben..
was im einzelnen kann ich nicht sagen ohne den jeweiligen quelltext, der diese anfrage an den server sendet, zu sehen...
mal googlen, in einschlägigien seiten kann man fündig werden....

halt mich mal auf dem laufenden, wenn du was raus findest... danke 

[delta]

Also nicht nur mit der 'normal' Suche sondern auch mit den einschlägigen Google hacks, kenn ich mich recht gut aus - und bevor ich jemanden mit einer Frage belästige, wende ich Google auch an. 

Sämtliche meiner Abfragen bringen immer wieder etliches an Ergebnissen aber bei Durchsicht der Inhalte kommt immer wieder zu tage, dass die Leute zwar mit diesem Code konfrontiert sind aber niemand weiß was denn nun tatsächlich dahintersteckt.

Es ist nun wirklich nicht schwierig, diesen Code zu blocken (wie gesagt: ich mach das via Pattern Matching) aber es ist nunmal nichts weiter als ein blindes 'Rumstochern' wenn man die Bedeutung der einzelnen Codesequenzen nicht kennt.

P.S. könnte man die Schriftgröße für das Quoting (insbesondere für die Code Tags), nicht mal auf einen größeren Wert einstellen?
Ich brauch immer ne Lupe um das zu lesen