Seite 1 von 3
Hackversuche?
Verfasst: 20.12.2005, 12:44
von Tifflor
Hallo
seit ein paar Tagen habe ich untenstehende Eintraege in den Logs
von wechselnden IP Adresse. Kann mir mal jemand sagen was die einzelnen Versuche dort bedeuteten? wobei mir weniger die 404er Sorgen bereiten als eher die 300/301er oder?
Danke
80.40.137.198 - - [20/Dec/2005:11:31:22 +0100] "POST /xmlrpc.php HTTP/1.1" 404 288 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
80.40.137.198 - - [20/Dec/2005:11:31:23 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
80.40.137.198 - - [20/Dec/2005:11:31:24 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 300 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
80.40.137.198 - - [20/Dec/2005:11:31:25 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
80.40.137.198 - - [20/Dec/2005:11:31:27 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
80.40.137.198 - - [20/Dec/2005:11:31:28 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
80.40.137.198 - - [20/Dec/2005:11:31:29 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
80.40.137.198 - - [20/Dec/2005:11:31:30 +0100] "POST /xmlrpc.php HTTP/1.1" 404 288 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
80.40.137.198 - - [20/Dec/2005:11:31:31 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
80.40.137.198 - - [20/Dec/2005:11:31:32 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
Hackversuche?
Verfasst: 20.12.2005, 14:17
von Pink
mach dir keine sorgen
wen das ein hack versuch ist dann ein höchst ungeschikter.
vermutlich versucht da ein anfänger einen bot zu schreiben um deine texte möglichst struckturiert auslesen zu können. also selbst wen er erfolg hat ist er volkommen ungefärlich.
regel nr.1
ein hacker der mit ms kommt ist generäl eine lusche!
lg.
pink
Hackversuche?
Verfasst: 20.12.2005, 15:13
von proccio
Das ist ein Hackversuch. Es gibt in älteren Varianten des Pear-Paketes XML-RPC eine Sicherheitslücke die Zugriff auf den Server ermöglicht.
Also: Wenn eine der Softwares auf den URLs verwendet wird dringend aktualisieren!
Die "300/301er" sind in Wahrheit keine HTTP-Statuscodes, sondern die Anzahl Bytes die ausgegeben wurden. Wenn ich nichts übersehen habe, waren alle Antworten 404.
Grüße
proc
Re: Hackversuche?
Verfasst: 20.12.2005, 17:45
von Phillux
Pink hat geschrieben:mach dir keine sorgen [...] also selbst wen er erfolg hat ist er volkommen ungefärlich.
Wenn man keine Ahnung hat... Ne, ne, ne...
Tifflor, mehr Infos auch hier:
https://www.heise.de/newsticker/result. ... dung/62827
Hackversuche?
Verfasst: 20.12.2005, 18:25
von Pompom
Wenn man keine Ahnung hat... Ne, ne, ne...
Die Superahnung(slosen) sind auch daran schuld, dass mein Postfach täglich mit > 300 virenverseuchten, infizierten und Spam-Mails überschwemmt wird.
Bestimmt >50% der Hackversuche haben heutzutage den Hintergrund, Server zu finden, die preisgünstig Spams bzw. Viren/Trojaner verschicken.
Hackversuche?
Verfasst: 20.12.2005, 18:33
von Pagemaker
.
Dat Problem hatte ich, und der Spam lief über ein "senmail.php".
Frage an PHP-Spezialisten:
Ist PHP auf dem Server grundsätzlich ein Risiko?
Wenn NEIN, wie kann man "PHP-Schlupflöcher" finden, um die zu schließen?
Mit untertänigsten Gruß v. Andreas - "Pagemaker"
.
Hackversuche?
Verfasst: 20.12.2005, 19:13
von Pompom
Meist ist nicht PHP das Risiko, sondern die Applikation, die Sicherheitslücken hat.
Sind es dann noch Anwendungen, die von vielen genutzt werden, wie Formmailer, myphorum, phpads, phpadsnew, phpbb, ...
dann hat man schnell kurz nach dem eine Sicherheitslücke öffentlich wird, die Hacker mit irgendwelchen Exploits auf dem Hals. Hilft also nur, ständig zu überprüfen, ob sicherheitsrelevante Updates verfügbar sind.
Dies betrifft jedoch nicht nur PHP, sondern alle Applikationen, die auf einem Internetserver laufen und öffentlich erreichbar sind.
Zeitweise gehörte es zum guten Ton, z.B. auf Servern über OpenSSL einzubrechen, das auf vielen Servern läuft bzw. lief, ohne dass es benutzt wurde.
Öhm... Versuche:
https://www.abakus-internet-marketing.de/
Hackversuche?
Verfasst: 20.12.2005, 19:26
von Pagemaker
.
.
@- Pompom:
Lieber Pompom,
Du hattest mir schon einmal einen nützlichen Tip gegeben.
Auch hier - hohe Achtung vor Dir - mag das stimmen, was Du schreibst.
Würdest Du so eine Lücke finden?
Gruß v. Andreas - "Pagemaker"
.
Hackversuche?
Verfasst: 20.12.2005, 21:20
von Phillux
Wichtig wäre auch, sich in die Security Mailinglisten der verwendeten Anwendungen einzutragen.
Generell alle Lücken aufzuspüren ist so gut wie unmöglich, es sei denn, man hat eine Liste aller bekannten Bugs und Exploits der verwendeten Anwendungen und durchsucht diese systematisch.
Besser, die aktuelle und stabile Version verwenden, bzw. darauf updaten.
Hackversuche?
Verfasst: 20.12.2005, 21:25
von Tifflor
Hallo,
erstmal danke fuer die vielen antworten
aber mal zu meiner frage zurueck ob ich mir sorgen machen muss, da ich die webseite auf einem gehosteten system liegen habe, wo ich also auf das system und die entsprechenden module keinen einfluss habe, liege ich da recht in der annahme, dass, solange all diese o.g. anfragen mit einem 404 beantwortet werden ich mir keine sorgen machen muss ?
danke sehr
Hackversuche?
Verfasst: 20.12.2005, 21:32
von Pompom
@Pagemaker
manchmal MUSS ich sie finden.
Meist jage ich aber erst, wenn irgendein Kind in den Brunnen gefallen ist.
Tifflor,
solange die Anwendungen nicht bei Dir laufen, die die gesuchten Funktionalitäten nutzen, musst du dir keine Sorgen machen.
Hackversuche?
Verfasst: 20.12.2005, 22:48
von Pagemaker
.
@- Pompom:
Pompom,
ha, Du hast gut Reden / Schreiben: "wenn irgendein Kind in den Brunnen gefallen ist".
Dat sollte es ja nicht, und der Brunnen sollte vorher abgedichtet werden......
Und was weiß ich, ob's auch 100 %ig das "sendmal.php" war?
Dat ist halt nur meine Vermutung und habe vor Schreck (zum eigenen Schaden) alles gelöscht, was mit PHP zusammen hängt.
Ruhe ist eingetreten dadurch, aber die betroffene IP kann gesperrt werden, wie ich hörte, und alle Mails die darüber raus gehen, werden von vornhinein dann als Spam (also die eigenen Mails) angesehen.
Für das "Sendmail.php" habe ich eine gute "HTM"-Lösung gefunden und wundere mich, daß ich nicht vorher darauf kam.
Gruß v. Andreas - "Pagemaker"
.
Re: Hackversuche?
Verfasst: 21.12.2005, 11:44
von Phillux
Tifflor hat geschrieben:Hallo,
aber mal zu meiner frage zurueck ob ich mir sorgen machen muss, da ich die webseite auf einem gehosteten system liegen habe, wo ich also auf das system und die entsprechenden module keinen einfluss habe, liege ich da recht in der annahme, dass, solange all diese o.g. anfragen mit einem 404 beantwortet werden ich mir keine sorgen machen muss ?
Ja, solange nen 404er kommt, wurde die Datei ja nicht gefunden. Betreibst Du denn einen eigenen Rootserver und hast eigene Kunden drauf?
Gruß, Phil
Re: Hackversuche?
Verfasst: 21.12.2005, 12:55
von Fantomas
Hallo,
Pagemaker hat geschrieben:Für das "Sendmail.php" habe ich eine gute "HTM"-Lösung gefunden und wundere mich, daß ich nicht vorher darauf kam.
.
die Lösung würde mich aber auch interessieren. Wie kann eine HTML-Seite Mails verschicken (ohne ein Mailprogramm aufzurufen)?
Ansonsten bleibt bei PHP/anderen Anwendungen immer ein Restrisiko. Irgendwann wird ein Fehler gefunden, und dann muss man schnell reagieren...wirklich sicher ist es nur, wenn du das internetkabel durchschneidest.
Fantomas
Hackversuche?
Verfasst: 21.12.2005, 16:11
von Pagemaker
.
@- Fantomas:
Fantomas,
huuuuch, mir scheint es, meine Sache ist Patentwürdig.
Nun, ich habe aus dem "sendmail.php" ein paar Teile geklaut und in "HTM" eingeführt, und alles läuft dann zur Prüfung über ein "Form-Mail", die nur zum Weiterversand die Teile zuläßt, die von der (vorher eingetragenen) URL kommt, und nur an die darin angegebene Mailadresse versendet wird.
Nur ein kleiner Tippfehler, und nix geht, so genau is dat Ding.
Eine Einschränkung habe ich jedoch:
Eine automatische Bestätigung an den User geht nicht mehr raus, die muß von meinen Patschhändchen versendet werden.
Aber so reicht es mir vorerst und dafür finde ich vielleicht auch eine Lösung.
Ich bin kein Programmierer, aber ein wenig Logik habe ich schon, und dann noch diese und jene Leute ausgehorcht, geht es halt manchmal.
Frage an Dich:
Du meinst, "PHP" sollte man vermeiden, wo es geht?
Gruß v. Andreas - "Pagemaker"
.
