Ich hatte jetzt zwei Tage eine Version von PHP Hacking wobei ich mir immer noch nicht im klaren bin was genau hier versucht wird. Im Moment habe ich einen iptables und Apache Rewrite Riegel davor geschoben.
Aufgefallen sind mir die CONNECT Einträge in Apache access_log
Wobei ich das ganze dann mit Mod rewrite auf eine 403 umgeleitet habe.
HTML-Code:
    RewriteCond %{HTTP_REFERER} ^$ [NC]
    RewriteCond %{HTTP_USER_AGENT} ^West\s{1,}Wind [OR]
    RewriteCond %{HTTP_USER_AGENT} ^$ [NC]
    RewriteCond %{THE_REQUEST} ^CONNECT [OR]
    RewriteCond %{THE_REQUEST} ^GET [OR]
    RewriteCond %{THE_REQUEST} ^POST
    RewriteRule !403\.htm - [F,L]
Code:
grep CONNECT access_log
61.63.38.205 - - [24/Jun/2007:05:58:02 +0200] "CONNECT 203.133.1.214:25 HTTP/1.0" 403 - "-" "-"
61.63.38.212 - - [24/Jun/2007:05:58:06 +0200] "CONNECT 203.133.1.215:25 HTTP/1.0" 403 - "-" "-"
61.63.38.207 - - [24/Jun/2007:05:58:27 +0200] "CONNECT 203.133.1.214:25 HTTP/1.0" 403 - "-" "-"
In der PHP Error log erscheint ein open() Error aber ich habe garkeine open Funktion im index.php ????
Code:
cat php_err.log
[23-Jun-2007 20:14:15] PHP Warning:  Cannot open '''' for reading in Unknown on line 0
Ist aber Identisch mit der access_log
Code:
grep '23\/Jun\/2007:20:14:' access_log
61.63.38.212 - - [23/Jun/2007:20:14:23 +0200] "CONNECT 203.133.1.213:25 HTTP/1.0" 403 - "-" "-"
Kennt einer diesen Bug oder weiss man was hier versucht wird?