Kun je wellicht ook aangeven hoe zo'n bestand op de server komt? Het is toch niet mogelijk om van buitenaf iets in de public_html map te schrijven?
Nee, maar je kunt wel externe bestanden van een andere server laden via bijvoorbeeld fopen() of cURL en zelfs via include en require als allow_url_fopen het toelaat. Deze vulnerability scan "snift" of je een onvoldoende gecontroleerde achterdeur open hebt staan.
Dit kan op zich niets aanrichten als je server goed is beveiligd, maar houd in de gaten of er niet meer andere scans volgen (bijvoorbeeld naar te gemakkelijk te raden directory's zoals /admin/ of /phpMyAdmin/).
Er is blijktbaar in een bepaalde webapplicatie een lek waarmee er bestanden met de naam '"w00tw00t.at.blackhats.romanian.anti-sec:)' kunnen worden gemaakt. Een gemeen botje kijkt elke server af of dit bestaan bestaat en of deze mogelijk een bepaalde output geeft, en gaat vervolgens een exploit op de server uitvoeren.
Als je alles goed up2date hebt, en en de requests naar deze file in de error-logs staan, dan ben je veilig. Sniffen en, bruteforcen is gewoon normaal deze dag.
Hmmm, oké... vind het maar vaag :)
Best raar eigenlijk. Dagelijks wordt er gewoon op je server "rondgesnuffeld" door onbekenden, in de hoop dat ze je server kunnen hacken. Hoe triest is dat... Er zal wel geld mee te verdienen zijn (gestolen gegevens) anders zouden er niet zoveel hackpogingen plaatsvinden lijkt me.
Tja, zo gaan inbrekers ook te werk in het dagelijks leven, ze gaan gewoon (vaak zo onopvallend) mogelijk in de wijk rondlopen, en kijken waar er ladders voro eht grijpen staan, waar er ramen en deuren open staan etc...
Ena ls ze een huis hebben gevonden welke aan de voorwaarden voldoet, dan slaan ze toe.
Die 'maatschappij' is al jaren geleden overduidelijk begonnen, in de middeleeuwen.
Waarom zouden de kasteelheren een slotgracht met ophaalbrug hebben gebouwd om hun kasteel ;-)?
Als je dit onvoldoende controleert en de PHP-configuratie het toestaat, dan kan een onverlaat een webserver dus via de URL laten laden wat hij maar wil. Voor cURL geldt hetzelfde, met als bijkomende complicatie dat cURL juist speciaal is bedoeld om iets van een externe server te halen.
Die directoryscans zag ik al aankomen: ze zitten in hetzelfde sniffer-pakket.
