Aktuelle Version mit Sicherheitslücke?
Eingetragen von Julsen (178)am 26.04.2015 - 19:22 Uhr in
Hallo zusammen,
halte die Drupal Installation immer auf dem neuesten Stand und gucke gelegentlich immer mal bei den Protokollnachrichten nach.
Die letzte Zeit häufen sich die unterlaubten Zugriffsversuche recht stark und zwischendrin sind auch mal paar rote PHP Fehler mit dabei.
Unteranderem:
PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 'Crap' AND status = 1' at line 1: SELECT * FROM {users} WHERE name = :name_0, :name_1 AND status = 1; Array ( [:name_0] => FcUk [:name_1] => Crap ) in user_login_authenticate_validate() (Zeile 2154 von /var/www/vhosts/xxxx.com/httpdocs/modules/user/user.module).
Standort: /user/login/
heißt doch eigentlich so viel, dass hier wem gelungen ist SQL Befehle mit einzuschleusen oder?
Viele Grüße
Julsen
- Anmelden oder Registrieren um Kommentare zu schreiben
Hallo Julsen, das sieht nach
am 27.04.2015 - 08:15 Uhr
Hallo Julsen,
das sieht nach einer missglückten SQL Injection aus.
Es ist versucht worden, hat aber nicht geklappt.
Hätte es geklappt würdest Du die Fehlermeldung nämlich nicht sehen.
Hast Du einen User Namens Crap in Deiner Users Tabelle?
MfG
Robert
https://awri.ch
Ich habe eine Schweizer Tastatur und daher kein scharfes ß ;-)
Hallo Robert, ok, danke,
am 27.04.2015 - 19:13 Uhr
Hallo Robert,
ok, danke, dachte schon das es offen für SQL Injections sei. Ne, keine neuen User und Rollen, hatte ich direkt nachgeguckt :). Die Meldung sieht für mich aber so aus, als ob die teilweise Erfolg hatte, nur ein wenig angepasst werden muss. Scheint ja bis zur Ausführung gekommen zu sein.
VG
Julsen