LinkBack URL
About LinkBacks
Gehackt? Code in .htaccess eingeschleust, Backend-Login geknackt...
Hier einige Auszüge aus meinen Logfiles mit Kommentaren/Interpretationsversuchen von mir...
Der Übersichtlichkeit halber habe ich Eintraäge, die mir unwichtig erschienen weggelassen...
Kann mir jemand erklären was hier passiert und vor allem, wie der Typ das macht?
Anmerkungen:
- Der Backendbereich ist zusätzlich zum Backend-Login noch durch einen .htaccess-Schutz im Verzeichnis /administrator geschützt...
- Die verwendete Joomla-Version ist 1.0.15 Stable [ Daytime ]
- unsichere Drittanbieter-Komponenten sind nicht installiert
- RegisterGlobals auf Off
IP 87.181.98.217 versucht ins Backend zu kommen.
Er lässt sich nicht nur durch seine IP erkennen, sondern auch durch die Tatsache, dass er immernoch die mittlerweile recht veralteten Version 2.0.0.16 des Firefox-Browsers benutz.
Als er auf den htacess-Schutz trifft versucht er zunächst, sich mit den Benutzernamen "moses", "admin" sowie "depp" und uns nicht bekannten Passwörtern Zugang zu verschaffen.
Wie zu erwarten war, klappt das alles nicht, wie das Error-Logfile zeigt:
Error-Logfile + Acces-Logfile:
87.181.98.217 - - [11/Sep/2008:11:05:32 +0200] "GET /administrator HTTP/1.1" 401 1445 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
Fehler:
[Thu Sep 11 11:05:46 2008] [error] [client 87.181.98.217] user moses not found: /administrator
87.181.98.217 - - [11/Sep/2008:11:05:46 +0200] "GET /administrator HTTP/1.1" 401 1445 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
Fehler:
[Thu Sep 11 11:05:54 2008] [error] [client 87.181.98.217] user admin not found: /administrator
87.181.98.217 - - [11/Sep/2008:11:05:54 +0200] "GET /administrator HTTP/1.1" 401 1445 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
Fehler:
[Thu Sep 11 11:05:57 2008] [error] [client 87.181.98.217] user depp not found: /administrator
87.181.98.217 - - [11/Sep/2008:11:05:57 +0200] "GET /administrator HTTP/1.1" 401 1445 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
Hier vergeht eine Minute (zwischen 11:06:03 und 11:07:03) ohen für uns sichtbare Aktion.
Danach ist es 87.181.98.217 aber möglich, sich mit dem Benutzernamen "runde2" anzumelden.
Wie wir später aber feststellen werden steht in der .htaccess-Datei und der dazugehörigen .htpasswd-Datei plötzlich jeweils eine Zeile mehr.
In dieser wird der Benutzername "runde2" und ein dazugehöriges Passwort definiert.
Wie er diese Dateien verändern konnte bleibt wohl sein Geheimnis... EIGENTLICH dürfte das nicht möglich sein!
Anmeldeverusch als "runde2" :
87.181.98.217 - - [11/Sep/2008:11:07:03 +0200] "GET /administrator HTTP/1.1" 401 1445 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
Anmeldeversuch war erfolgreich! 87.181.98.217 konnte sicha als "runde2" anmelden! Er muss also die .htaccess-Datei editiert oder Code in sie eingeschleust haben.
87.181.98.217 - runde2 [11/Sep/2008:11:07:07 +0200] "GET /administrator HTTP/1.1" 301 344 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - runde2 [11/Sep/2008:11:07:08 +0200] "GET /administrator/ HTTP/1.1" 200 2110 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
Im folgenden wird wohl der Backend-Bereich geladen, was darauf schließen lässt, dass er auch am Backend-Login vorbeigekommen ist.
87.181.98.217 - runde2 [11/Sep/2008:11:07:09 +0200] "GET /administrator/templates/joomla_admin/css/admin_login.css HTTP/1.1" 200 2424 "http://www.***.de/administrator/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - runde2 [11/Sep/2008:11:07:09 +0200] "GET /administrator/templates/joomla_admin/images/login.gif HTTP/1.1" 200 524 "http://www.***.de/administrator/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
Die selbe IP ist gleichzeitig auch im Frontend unterwegs.
Im Folgenden besucht 87.181.98.217 verschiedene Seiten, darunter auch die Lost-Password-Seite.
87.181.98.217 - - [11/Sep/2008:11:08:02 +0200] "GET /index.php?option=com_registration&task=lostPasswor d HTTP/1.1" 200 8681 "http://www.***.de/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - - [11/Sep/2008:11:08:16 +0200] "POST /index.php HTTP/1.1" 301 - "http://***.de/index.php?option=com_registration&task=lostPasswor d" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - - [11/Sep/2008:11:08:16 +0200] "GET /index.php?option=com_registration&mosmsg=Neues%20B enutzer%20Passwort%20generiert%20und%20gesendet! HTTP/1.1" 200 7702 "http://***.de/index.php?option=com_registration&task=lostPasswor d" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - - [11/Sep/2008:11:09:14 +0200] "GET /index.php?option=com_content&task=view&id=31&Itemi d=48 HTTP/1.1" 200 12414 "http://***.de/index.php?option=com_registration&mosmsg=Neues%20B enutzer%20Passwort%20generiert%20und%20gesendet!" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - - [11/Sep/2008:11:09:23 +0200] "GET /index.php?option=com_contact&task=view&contact_id= 3&Itemid=77 HTTP/1.1" 200 11585 "http://***.de/index.php?option=com_content&task=view&id=31&Itemi d=48" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - - [11/Sep/2008:11:09:32 +0200] "GET /index.php?option=com_content&task=view&id=31&Itemi d=48 HTTP/1.1" 200 12414 "http://***.de/index.php?option=com_registration&mosmsg=Neues%20B enutzer%20Passwort%20generiert%20und%20gesendet!" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - - [11/Sep/2008:11:14:10 +0200] "GET /index.php?option=com_registration&task=lostPasswor d HTTP/1.1" 200 8681 "http://www.***.de/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - - [11/Sep/2008:11:14:16 +0200] "POST /index.php HTTP/1.1" 301 - "http://***.de/index.php?option=com_registration&task=lostPasswor d" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - - [11/Sep/2008:11:14:17 +0200] "GET /index.php?option=com_registration&mosmsg=Neues%20B enutzer%20Passwort%20generiert%20und%20gesendet! HTTP/1.1" 200 7702 "http://***.de/index.php?option=com_registration&task=lostPasswor d" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
Im Backend geht 87.181.98.217 in die Benutzerverwaltung und erstellt sich dort den Benutzer "Max Mustermannn". Der danach sogar über SuperAdmin-Rechte verfügt!
87.181.98.217 - runde2 [11/Sep/2008:11:15:30 +0200] "GET /administrator/index2.php?option=com_users HTTP/1.1" 200 41849 "http://www.***.de/administrator/index2.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - runde2 [11/Sep/2008:11:16:54 +0200] "GET /administrator/index2.php?option=com_users&mosmsg=Successfully+Sa ved+User%3A+Max+Mustermannn HTTP/1.1" 200 42619 "http://www.***.de/administrator/index2.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - runde2 [11/Sep/2008:11:17:14 +0200] "GET /administrator/index2.php?option=logout HTTP/1.1" 301 - "http://www.***.de/administrator/index2.php?option=com_users&mosmsg=Successfully+Sa ved+User%3A+Max+Mustermannn" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - runde2 [11/Sep/2008:11:17:14 +0200] "GET /administrator/index.php HTTP/1.1" 200 2110 "http://www.***.de/administrator/index2.php?option=com_users&mosmsg=Successfully+Sa ved+User%3A+Max+Mustermannn" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - runde2 [11/Sep/2008:11:17:22 +0200] "POST /administrator/index.php HTTP/1.1" 200 54 "http://www.***.de/administrator/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - - [11/Sep/2008:11:17:25 +0200] "GET /images/favicon.ico HTTP/1.1" 404 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - runde2 [11/Sep/2008:11:17:23 +0200] "GET /administrator/index2.php HTTP/1.1" 200 36025 "http://www.***.de/administrator/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 - runde2 [11/Sep/2008:11:18:40 +0200] "GET /administrator/index2.php?option=logout HTTP/1.1" 301 - "http://www.***.de/administrator/index2.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
87.181.98.217 hat sich im Backend den Benutzer "Max Mustermannn" angelegt.
Im folgenden hat er sich vermutlich mit diesem Benutzer angemeldet und sieht sich sehr ausführlich in den internen Bildern um.
Es folgt eine sehr lange recht unspektakuläre Auflistung aller Bilder die sich 87.181.98.217 angesehen hatt, die ich aber hier nicht mehr nennen will...
Vielen Dank im Voraus!
Zitieren
Zitat von keraM
Lesezeichen