Sicherheitslücke

Hi, ich habe ein kleines Tool gecoded, dass auch funktioniert, jetzt meldet sich einer, und zeigt mir folgenden Screen :

http://www.phpexpert.de/masters/sicherheit.jpg

Der Quelltext der da angezeigt wird, ist unvollständig, aber man sieht teilweise SQL querys.

Ds Teil funzt normal einwandfrei, getestet unter Firefox und IE, der screenshot wurde von einem Opera User aufgenommen.

Die achen sind quelltext sachen und werden auf keinen fall von mir ausgegeben, was kann da passiert sein ?

wenn das vom server ist, ist das ne eklatante sicherheitslücke, wurde es durch meine nachlässigkeit verursacht, dann sollte ich jetzt knallrot anlaufen und in die Ecke gehen und mich schämen.

Hat einer eine Ahnung was da schiefgelaufen ist ?

so sieht z.B. der kopf dieser datei aus :



Die erste zeile ist z:b. der 2. teil des Headers, woher aber das echo "" herkommt ist mir schleierhaft, ich habe auf der seite ein refresh, der aber nur an ist wenn man nicht gerade im Eingeben Modus ist oder diesen ausgeschaltet hat...

url ist diese da

PHP-Code:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<title>Mastersgames - IP-Host-Tool</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<?php
if(!isset($_REQUEST['refresh'])) $refresh = 120;
  else $refresh = $_REQUEST['refresh'];
  
if(!isset($_REQUEST['shoutbox'])) $shoutbox = 'aus';
  else $shoutbox = $_REQUEST['shoutbox'];
  
if($refresh > 0 && !isset($_REQUEST['eintragen']))
  echo("<meta http-equiv='refresh' content='$refresh; 
URL=http://www.phpexpert.de/masters/gamelist.php?refresh=$refresh&shoutbox=$shoutbox'>");
?>

EDIT:

---

ich habe mir mal erlaubt, das bild als url darzustellen und im code einen umbruch einzufügen.
by Abraxax

---

als der screenshot gemacht wurde lief eindeutig der parser nicht.
das echo"" wird nicht angezeigt, da html ausgegeben wird (unsichtbar).

eventuell ist apache kurze zeit nicht gelaufen (neustart oder ähnliches?!)

Zitat:

Original geschrieben von TheUser
eventuell ist apache kurze zeit nicht gelaufen (neustart oder ähnliches?!)

ein webserver, der gar nicht läuft, kann aber auch keine ungeparste PHP-seite ausgeben ...

aber grundsätzlich hast du vollkommen recht, es ist beim parsen irgendwas schief gegangen. wenn der fehler nicht reproduzierbar ist, sehe ich wenig möglichkeiten, das zu analysieren.
dass der parser mal kurzeitig ausfällt, hab ich auch schon bei grösseren seiten ab und zu mal beobachten können.

evtl. gerade zu dem zeitpunkt eine neue version des scriptes hochgeladen, so das ftp- und webserver sich in die quere kamen ...?
die wahrscheinlichkeit ist natürlich äusserst gering - aber trotzdem würde ich in diesem moment die site kurzfristig ganz für zugriffe über's web sperren ...

So, bei dem Opera user kommt der fehler immer wenn er diese URI hat : http://www.phpexpert.de/masters/game...hp?eintragen=1


ich lade gerade opera runte rums selber zu testen...

echt merkwürdig, vor allem da der code bruchstückhaft ausgegeben wird, und nicht vollsätnig.

zum glück wird mein mysql.inc.php nur required und steht nicht quelltext selbst

ich wüste halt nur gern ob es meine Schuld ist oder am Webserver liegt

@MaxP0W3R


<-- ist das nen windows skin ??

will den auch haben *g* (wo gibts den)?

mein opera zeigt die seite an. tadellos.

ich kriege immer nur folgende meldung:
The system returned:

(111) Connection refused

The remote host or network may be down. Please try the request again.

könnte aber auch an der firewall liegen, irgendwo pornografisches material auf der seite ;-)

peter

Hi, bei mir gehts atm auch nicht mehr (ftp geht aber noch)

Irgendwas stimmt da nicht atm...

@Schmalle : klick mal auf game eintragen, kannst es danach wieder löschen, will nur sehen ob du den fehler auch bekommst

wäre dir sehr dankbar

Edit : Die seite ist wohl down 0_o

Zitat:

die verbindung zum server konnte nicht hergestellt werden

das sagt doch alles. es liegt an deinem HOSTER

Ich glaube die bauen gerade um, die HP ist neu, und die beschreibung der technik (neues RAID) usw deutet auch auf einen Umbau um.

Hoster ist www.canhost.de

Das erste mal dass der Down ist...

Zitat:

Original geschrieben von MaxP0W3R
Hi, ich habe ein kleines Tool gecoded, dass auch funktioniert, jetzt meldet sich einer, und zeigt mir folgenden Screen :

http://www.phpexpert.de/masters/sicherheit.jpg

Der Quelltext der da angezeigt wird, ist unvollständig, aber man sieht teilweise SQL querys .... blub

wie ich das jetzt verfolgt habe, liegt es an deinem hoster.. wenn es nur auf einer Site so ist, hatte ich mal ähnlichen fall.. wollte da ein script hochladen und bin auf den resume knopf bei dem ftp.prog gekommen, da sah man das script in hinblick auf einen php-editor ... beim neu hochladen gings dann ( beim überschreiben )... aber dies scheint ja nicht dein prob. zu sein.. war nur nette geste zum erweitern des horizonts

OffTopic:

---

max ist schon mit dem horizont seines schreibtisches vollkommen überfordert

---

Zitat:

Original geschrieben von schmalle

OffTopic:

---

max ist schon mit dem horizont seines schreibtisches vollkommen überfordert

---

OffTopic:

---

aha?

---

Zitat:

Original geschrieben von schmalle

OffTopic:

---

max ist schon mit dem horizont seines schreibtisches vollkommen überfordert

---

Da könnte sogar was dran sein, bei den Bergen von Papier/Bücher usw die auf meinem Schreibtisch liegen ^^


Naja , mich hat gewundert dass der eine User den Fehler immer hatte und die anderen alle nie und ich unter keinem meiner 4 Browser den fehler reproduzieren konnte...

cya max

SO, das kam von meinem Provider, etwa 10 Minuten nach dem ich dnen eine E-Mail geschickt habe :

Zitat:

Hallo,

wenn dies heute passiert ist, ist es keine Sicherheitslücke sondern
liegt an der Umstellung die wir gerade durchführen da wir ein neues
Modul für AUTHMYSQL installieren somit es kurzzeitig zu Störungen
kommen kann.



Ihr Team von www.canhost.de