Ich habe mal die SQL-Injection-Versuche im access-log untersucht. Es werden an 2 Stellen Versuche gestartet, SQL einzuschleusen: einmal über den "listing_sort"-Parameter, z.B. PHP: index.php?language=en&cat=c25_Natural-Stone.html&filter_id=1&page=1&listing_sort=999999.9 union all select 0x31303235343830303536-- HTTP/1.1" 200 189 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" Da kann man ein Problem allerdings ausschließen, da der "listing_sort"-Parameter nirgendwo direkt in einer DB-Query auftaucht. Die 2. Stelle betrifft den "language"-Parameter, z.B. PHP: index.php?language=999999.9 union all select 0x31303235343830303536,0x31303235343830303536--&cat=c25_Natural-Stone.html&filter_id=1&page=1&listing_sort=shipping_asc HTTP/1.1" 200 189 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" Der "language"-Parameter wird auch nicht in DB-Abfragen verwendet, sondern ein davon abgeleiteter "languages_id".... Und über "xtc_input_validation" werden alle Zeichen außer Buchstaben herausgefiltert. PHP: $lng = new language(xtc_input_validation($_GET['language'], 'char', '')); Da kann also auch nicht s geschehen..... Es waren auch keine SQL-Befehle enthalten, die die DB in irgendeiner Form beschädigen konnten. Der aufgetretene Fehler hat andere Ursachen, das Zusammentreffen mit diesen SQL-Injection-Versuchen war m.E. rein zufällig....
Was heißt denn "platt"? Waren auf der Seite Fehlermeldungen zu sehen? War der Shop nicht mehr zu erreichen und der Browser hat einen Timeout gemeldet?
Hast Du denn schonmal nachgesehen ob da evtl. jemand über andere Wege in den Shop kommt? Direkt über MySQL Port 3306 zum Beispiel oder FTP? Hast Du ein auth-log?
Wie schon geschreiben: das Zusammentreffen mit SQL-Injection-Versuchen und diesem Fehler, der ganz andere Ursachen hatte, war rein zufällig.... Der Shop wurden nicht gehacked...
heute wohl ein neuer SQL-Injection Versuch; zumindest gab es eine Mail dazu. Allerdings kann ich mir nicht vorstellen, dass das ein Google-Bot macht.........
Das war ein "false positive".... In dem Filter wurde noch auf den String "from " als Injection-Kriterium geprüft, habe ich entfernt. Du solltest auch die Datei "GProtector/ip_blacklist.txt" leeren, weil der Filter IPs, die er als verdächtig erkennt, automatisch dort einträgt, um diese zu blockieren....
ok, danke. In der ip_blacklist stehen aber immer noch nur die 2 IP's, die ich selbst eingetragen habe. Ich denke, die lasse ich doch drin, oder. Dafür ist diese Datei doch da.....