Thema: sh404sef - Hackangriffe über URL

Habe heute mal auf meiner Seite bei der sh404sef-Komponente "alle URLs exportiert"

Beim Durchgehen der großen Datei sind mir ganze 18 komische Einträge vorgekommen:

Code:

"16358","0","0","Benutzer-http3A2F2Fstoneproperties.co****2Falbum2Fincludes2Fnohul2Fpur2F/","index.php?option=com_comprofiler&lang=de&task=userProfile&user=http://stoneproperties.co****/album/includes/nohul/pur/","0000-00-00"


"16356","0","0","Create-an-account.php","index.php?option=com_comprofiler&lang=http://mslayouts.ws/icons/administrator/components/com_menus/etotag/adusoq/&task=registers","0000-00-00"


"16354","0","2","2007120112/Letzten/Impressum.php","index.php?option=com_content&Itemid=117&id=12&lang=http://www.urlaub-reisen-privat.de/gymnasium/pictures/ahamoha/zotu/&task=view","0000-00-00"


"16348","0","3","wrapper.php","index.php?option=com_wrapper&Itemid=http://sans-packing****/img/jipeqap/ehudute/&lang=de","0000-00-00"


"16349","0","1","Kontakt.php","index.php?option=com_wrapper&Itemid=211&lang=http://www.stomol****/catalog/rivoz/harac/","0000-00-00"


"16351","0","0","Benutzer-http3A2F2Fwww.boomerbible.com2Finstapunk2FMType2Farchives2Fajuq2Fevuji2F/","index.php?option=com_comprofiler&Itemid=177&lang=de&task=userProfile&user=http://www.boomerbible.com/instapunk/MType/archives/ajuq/evuji/","0000-00-00"


"16392","1","0","<string>http://lodolo.com/x","","2008-07-29"


"16474","0","0","Forgotten-password.php","index.php?option=com_comprofiler&Itemid=1&lang=http://www.qubestunes.com/treytest/1/adoyuru/zagu/&task=lostPassword","0000-00-00"


"16475","0","1","Forgotten-password.php","index.php?option=com_comprofiler&Itemid=1&lang=http://www.ipp.ro/downloaded_pages/deputati/indecsi/siq/qaq/&task=lostPassword","0000-00-00"


"16476","0","2","Forgotten-password.php","index.php?option=com_comprofiler&Itemid=1&lang=http://www.vlopezalvarez.com/Personal/Fotos/Viajes/xaj/upahebu/&task=lostPassword","0000-00-00"


"16477","0","0","Benutzer-http3A2F2Fwww.pattibus.it2Fphplib-7.2b2Fpages2Fgodot2Fecemi2F/","index.php?option=com_comprofiler&lang=de&task=userProfile&user=http://www.pattibus.it/phplib-7.2b/pages/godot/ecemi/","0000-00-00"


"16478","0","0","Benutzer-http3A2F2Fwww.eloge-du-bien-commun.be2Fblog2Fbundled-libs2FNet2Focoqen2Fyurowej2F/","index.php?option=com_comprofiler&lang=de&task=userProfile&user=http://www.eloge-du-bien-commun.be/blog/bundled-libs/Net/ocoqen/yurowej/","0000-00-00"


"16479","0","0","Benutzer-http3A2F2Fwww.psikolojikyardim.org2Fetkinlik2Finclude2Feto2Frix2Fjas2F/","index.php?option=com_comprofiler&lang=de&task=userProfile&user=http://www.psikolojikyardim.org/etkinlik/include/eto/rix/jas/","0000-00-00"


"16487","0","4","wrapper.php","index.php?option=com_wrapper&Itemid=http://www.elettrodataservice.it/foto_articoli/pivafof/sena/&lang=de","0000-00-00"


"16488","0","4","20080728191/Lokales/Bladenight.php","index.php?option=com_content&Itemid=222&id=191&lang=http://stoneproperties.co****/album/includes/nohul/pur/&task=view","0000-00-00"


"16493","0","5","wrapper.php","index.php?option=com_wrapper&Itemid=http://www.kidspace-epe.com/photos/enahur/avid/&lang=de","0000-00-00"


"16494","0","1","2008020770/Examples/Partner.php","index.php?option=com_content&Itemid=131&id=70&lang=http://www.oriolmanya.net/nautilus/phpBB2/language/lang_english/ifekeri/idupas/&task=view","0000-00-00"


"16496","0","0","Benutzer-http3A2F2Fwww.antwerpsupporter.be2Fmvdm_polls2Fincludeold2Folom2Fyeq2F/","index.php?option=com_comprofiler&lang=de&task=userProfile&user=http://www.antwerpsupporter.be/mvdm_polls/includeold/olom/yeq/","0000-00-00"

Betroffen in den URLs sind folgende Komponenten:
-> com_comprofiler
-> com_content
-> com_wrapper

Folgende fremde URLs habe ich gefunden:
[entfernt by jamfx]

Die URLs stehen immer anstatt einer UserID oder was anderem (also das was das System über $_GET bekommen sollte!).

Meine Frage ist nun jetzt, wie schlimm sowas ist. Gehen die Angriffe extern aus oder ist da ein Fehler in sh404sef drinnen bzw. in einer anderen Komponente. Oder sind das nur Probleme, die manche Google-Robots oder ähnliches haben.

Ich bitte euch auch darum, eure URLs zu exportieren und nach "http" zu suchen. Vielleicht stößt ihr auf ähnliches

So liebe Experten... was hat das jetzt zu bedeuten?


MFG, videoandfun

Die URLs haben da nichts zu suchen. Bei einigen bekommst Du für den Besuch ein Trojan.JS.Redirector.e

Zitat von Wizard1

Die URLs haben da nichts zu suchen. Bei einigen bekommst Du für den Besuch ein Trojan.JS.Redirector.e

danke.
nur wie kann ich jetzt solche Angriffe verhindern? geht das i.wie über die .htaccess oder kann man garnichts dagegen machen?

Hi,
du könntest die geposteten URLs blocken, was aber keinen Sinn hat, da die Angriffe ja immer wieder von anderen URLs gestartet werden.
Für mehr Sicherheit helfen die üblichen Dinge:
- Admin mit .htaccess Sichern
- Berechtigungen für Verzeichnisse und Dateien sauber halten
- Servereinstellungen in der php.ini kontrollieren (Safe-Mode-ON, magic quotes usw.)

und die goldene Regel für danach:
Backups machen :-)

Viel zur Sicherheit findest du im Sicherheitsforum.

Aber siehe die Sache so: Bisher waren Sie nicht erfolgreich. Scheint also soweit mal in Ordnung zu sein.

Gruß
JamFX

jupp... dürften noch nicht erfolgreich gewesen sein

Sichere jetzt meine Seiten alle per .htaccess erneut ab. php.ini dürfte richtigt eingestellt sein. Und alle Datei-Rechte sind auch richtig gesetzt. admin-schutz wird auch noch eingerichtet!

Unsichere Komponente wie die hwdvideoshare ist auch wieder herunten.

Werde nun in nächster Zeit die URLs öfters kontrollieren und werd dann schon sehen, ob wieder "Angriffe" passieren

Hier mal ein Auszug aus meiner .htaccess

Code:

## HACK-ATTACKEN BLOCKEN
RewriteCond %{HTTP_USER_AGENT} ^asterias [OR]
RewriteCond %{HTTP_USER_AGENT} ^BackDoorBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^BackWeb [OR]
RewriteCond %{HTTP_USER_AGENT} ^BackStreet [OR]
RewriteCond %{HTTP_USER_AGENT} ^Bandit [OR]
RewriteCond %{HTTP_USER_AGENT} ^BatchFTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR]
RewriteCond %{HTTP_USER_AGENT} ^BlowFish [OR]
RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:craftbot@yahoo.com [OR]
RewriteCond %{HTTP_USER_AGENT} ^BotALot [OR]
RewriteCond %{HTTP_USER_AGENT} ^Buddy [OR]
RewriteCond %{HTTP_USER_AGENT} ^BuiltBotTough [OR]
RewriteCond %{HTTP_USER_AGENT} ^CheeseBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^CherryPicker [OR]
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR]
RewriteCond %{HTTP_USER_AGENT} ^Collector [OR]
RewriteCond %{HTTP_USER_AGENT} ^contype [OR]
RewriteCond %{HTTP_USER_AGENT} ^Copier [OR]
RewriteCond %{HTTP_USER_AGENT} ^CopyRightCheck [OR]
RewriteCond %{HTTP_USER_AGENT} ^cosmos [OR]
RewriteCond %{HTTP_USER_AGENT} ^Crescent [OR]
RewriteCond %{HTTP_USER_AGENT} ^Custo [OR]
RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [OR]
RewriteCond %{HTTP_USER_AGENT} ^Download\Wonder [OR]
RewriteCond %{HTTP_USER_AGENT} ^Downloader [OR]
RewriteCond %{HTTP_USER_AGENT} ^Drip [OR]
RewriteCond %{HTTP_USER_AGENT} ^DTS\ Agent [OR]
RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR]
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]
RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [OR]
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR]
RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Foobot [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetSmart [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR]
RewriteCond %{HTTP_USER_AGENT} ^gotit [OR]
RewriteCond %{HTTP_USER_AGENT} ^GornKer [OR]
RewriteCond %{HTTP_USER_AGENT} ^Grabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR]
RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR]
RewriteCond %{HTTP_USER_AGENT} ^HMView [OR]
RewriteCond %{HTTP_USER_AGENT} ^humanlinks [OR]
RewriteCond %{HTTP_USER_AGENT} ^ia_archiver [OR]
RewriteCond %{HTTP_USER_AGENT} ^ichiro [OR]
RewriteCond %{HTTP_USER_AGENT} ^iCCrawler [OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} ^Indy\ Library [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^InsurancoBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^InfoNaviRobot [OR]
RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR]
RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [OR]
RewriteCond %{HTTP_USER_AGENT} ^Iria [OR]
RewriteCond %{HTTP_USER_AGENT} ^JennyBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR]
RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Kenjin\.Spider [OR]
RewriteCond %{HTTP_USER_AGENT} ^lftp [OR]
RewriteCond %{HTTP_USER_AGENT} ^LinkextractorPro [OR]
RewriteCond %{HTTP_USER_AGENT} ^LinkScan\/8\.1a\.Unix [OR]
RewriteCond %{HTTP_USER_AGENT} ^LinkWalker [OR]
RewriteCond %{HTTP_USER_AGENT} ^likse [OR]
RewriteCond %{HTTP_USER_AGENT} ^Magnet [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mag-Net [OR]
RewriteCond %{HTTP_USER_AGENT} ^mail [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [OR]
RewriteCond %{HTTP_USER_AGENT} ^Memo [OR]
RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mirror [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mister\ PiX [OR]
RewriteCond %{HTTP_USER_AGENT} ^Morfeus [OR]
RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR]
RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^oegp [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [OR]
RewriteCond %{HTTP_USER_AGENT} ^Openfind [OR]
RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [OR]
RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR]
RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR]
RewriteCond %{HTTP_USER_AGENT} ^Pockey [OR]
RewriteCond %{HTTP_USER_AGENT} ^ProWebWalker [OR]
RewriteCond %{HTTP_USER_AGENT} ^Pump [OR]
RewriteCond %{HTTP_USER_AGENT} ^QueryN.Metasearch [OR]
RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^Reaper [OR]
RewriteCond %{HTTP_USER_AGENT} ^Recorder [OR]
RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^RMA [OR]
RewriteCond %{HTTP_USER_AGENT} ^Siphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR]
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^Snake [OR]
RewriteCond %{HTTP_USER_AGENT} ^SpaceBison [OR]
RewriteCond %{HTTP_USER_AGENT} ^Stripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ Quester [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Wget [OR]
RewriteCond %{HTTP_USER_AGENT} ^Whacker [OR]
RewriteCond %{HTTP_USER_AGENT} ^Widow [OR]
RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR]
RewriteCond %{HTTP_USER_AGENT} ^ZipppBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Crazy\ Browser [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*FileHound.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*TurnitinBot.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*JoBo.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^.*adressendeutschland.*$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^libwww
#
RewriteRule ^ - [F] 




########## Begin - Rewrite rules to block out some common exploits
#                             
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a ********** tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT(\[|\%20|\%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard) 
RewriteCond %{QUERY_STRING} sbp(=|\%20|\%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|\%20|\%3D)     
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

Weitere sicherheitsrelevante Tipps sind erwünscht

Hi,

ich glaube kaum, dass deine .htaccess mit diesen Einträgen ein wirklicher Schutz ist. Wenn ich ein Hacker wäre, dann würde ich mich hinter einer Signatur wie Firefox oder IE verstecken... Aber gegen Scriptkiddies könnte es evtl. helfen.

Gruß
JamFX
PS: Schon ein Backup gemacht? JoomlaPack bietet sich bei bestimmten Seiten an. :-)

Zitat von jamfx

Hi,

ich glaube kaum, dass deine .htaccess mit diesen Einträgen ein wirklicher Schutz ist. Wenn ich ein Hacker wäre, dann würde ich mich hinter einer Signatur wie Firefox oder IE verstecken... Aber gegen Scriptkiddies könnte es evtl. helfen.

Gruß
JamFX
PS: Schon ein Backup gemacht? JoomlaPack bietet sich bei bestimmten Seiten an. :-)

Deine Vorschläge jamfx ?!?
Was soll in die .htaccess deiner Meinung, noch rein?
Was darf nicht fehlen oder was empfiehlst du uns?
Lass uns doch nicht dumm sterben

Was mir hier am meisten gefällt, dass die Leute Hinweise geben, vom wegen

Zitat von jamfx

ich glaube kaum, dass deine .htaccess mit diesen Einträgen ein wirklicher Schutz ist.

aber keine weitere Infos geben, wie zB. Mach das so un so, trage das da rein usw. Gibt doch ausführliche Infos, es geht hier doch um Sicherheit.

War nicht persönlich gemeint jamfx