Wer kann direkt in meine MySQL Datenbank schreiben
 

Hallo,

also jetzt brat mir einer einen Storch! :shock:

Auf meiner Homepage gibt es ein Gästebuch, was mit PHP realisiert ist. Da sich immer wieder Spammer eingetragen haben, habe ich eine zusätzliche Frage eingebaut, die beantwortet werden muss. Trotzdem haben immer wieder ein paar Spammer es geschafft. Ich bin davon ausgegengen, dass sie die Antworten irgendwie in einer Datenbank finden, weil die Fragen natürlich so einfach sein müssen, dass sie auch jeder beantworten kann. Also z.B. Wie heißt der Monat vor Dezember? Oder wie heißt das Tier mit dem langen Hals....

Jetzt habe ich gestern das Script so geändert, dass der Eintrag in eine nicht sichtbare Tabelle abgelegt wird und ich die Einträge, die ich anzeigen will also manuell in die andere Tabelle kopieren muss. Hab ich getestet und funktioniert.

Jetzt kommt aber der Hammer!

Heute finde ich wieder einen Spameintrag in der Tabelle, auf die das "Eintragen" Script gar nicht mehr zugreift.

Jetzt drängt sich mir die Frage auf: Häää, wie geht denn das? :stupid:

Re: Wer kann direkt in meine MySQL Datenbank schreiben
 

hmmm gute Frage .. hast du eventuell ein HTTP Tunnelscript auf deiner Webseite liegen ?

Re: Wer kann direkt in meine MySQL Datenbank schreiben
 

Ist die Datenbank nach außen offen?
Verwendest du SSL?

Re: Wer kann direkt in meine MySQL Datenbank schreiben
 

Über google habe ich rausgefundeästebuch wohl seinen Uhrsprung im PHPForum hat.
Ich weis jetzt nicht in wie weit Du das dortige Script abgewandelt hast, es liegt aber die Vermutung nahe, das in einer der früheren Versionen eine Post-Variable nicht richtig geprüft wurde und somit bei Anzeige durch den PHP-Interpreter gelaufen ist.

Über include wird die Seite von einem externen Server geladen. Vorausgesetzt, die Variablen (insbesondere für DB zugriffe) sind dann noch die gleichen wie im "original quelltext" ist es nicht weiter verwunderlich, daß jemand in Deine Tabelle schreiben kann.

Bitte nicht wundern, ich habe Testweise einen Eintrag in Dein Gästebuch gepostet. Du kannst Ihn ja mal freischalten, wenn dann irgendwo beim Betrachten des Gästebuches der Pfad zum Script auftaucht hast Du die Lücke gefunden (eine Veriable wird Interpretiert) ansonsten bitte den Eintrag Löschen :).


Gruß
Martin

Re: Wer kann direkt in meine MySQL Datenbank schreiben
 

Hallo,

danke für die Hinweise.

Wie so häufig lag das Problem zwischen den Ohren. :oops:

Ich habe auf dem Server noch eine zweite Domain, die ebenfalls das gleiche Gästebuch benutzt. Als ich angefangen bin, die Spammer rauszuwerfen, habe ich anfangs nach bestimmten Worten im Eintrag gesucht und daraufhin entschieden, den Eintrag ggf. zurückzuweisen. Das funktionierte auch recht gut. Diese Liste habe ich mit der Zeit erweitert und, damit ich das nicht immer zweimal machen musste, habe ich den Teil des Scriptes in das Script der anderen Domain kopiert. Bei dem letzten dieser Kopiervorgänge habe ich offensichtlich auch das SQL INSERT Statement überschrieben. So landeten jetzt die Einträge des Gästebuches in der 2. Domain tatsächlich im Gästebuch der ersten. :?

D.h, dass die Spammer letztlich über das noch nicht so gut geschütze Gästebuch "eingedrungen" sind.

@ACE-ppc: Nein, ein Tunnelscript benutze ich nicht. Was macht denn so ein Tunnelscript?

@mkinzler: Wie stelle ich fest, ob meine DB nach außen offen ist? Und nein, ich nutze kein SSL.

@Martin: Deinen Eintrag habe ich mal ins Gästebuch kopiert und schmeiße ihn in den nächsten Tagen wieder raus. Er erzeugt einen interessanten Effekt, ob es aber "sicherheitskritisch" ist, weiß ich nicht.

Re: Wer kann direkt in meine MySQL Datenbank schreiben
 

Steht in der Rechte-Tabelle

Re: Wer kann direkt in meine MySQL Datenbank schreiben
 

Hallo mkinzler,

ich verwalte die Tabellen mit phpMyAdmin. Rechtetabellen habe ich nicht explizit angelegt und auch evtl. implizit erzeugte werden mir nicht angezeigt. Um auf die Datenbank zuzugreifen benötige ich jedoch eine Kennung und ein Passwort. Das gilt auch in dem Script, mit dem ich die Einträge mache. Wie kann ich mir die Rechtetabelle anschauen?

Re: Wer kann direkt in meine MySQL Datenbank schreiben
 

Es sollte im phpmyAdmin-index (erste seite die kommt wenn du phpmyadmin aufrufst ;-) ) einen link namens "Rechte" geben.

Da kann allerdings, je nach hosterseitiger einstellung, auch nicht vorhanden sein.

Re: Wer kann direkt in meine MySQL Datenbank schreiben
 

Hallo DGL-Luke,

nö, da gibt es keinen Eintrag. Ich gehe aber mal davon aus, dass die DB nicht nach außen offen ist.

Re: Wer kann direkt in meine MySQL Datenbank schreiben
 

Eine Anfrage beim Provider wuerde das definitiv klaeren :)

Greetz
alcaeus