Sicherheitslücke?
Verfasst: 12.10.2010 14:38
Ich beoachte des öfteren - vornehmlich sehr spät abends bei "wer ist online" - dass sich IPs aus dem Ausland, vornehmlich China, Russland oder Ukraine , gerade registrieren.
Doch niemals kommt dadurch ein neuer User. Ich sperre diese IPs dann zwar, aber es sind zu viele.
Heute habe ich mal wieder meine logfiles von diese Nacht durchgesehen und wieder ein paar Kandidaten entdeckt, die so tun, als würden sie sich registrieren, bestätigen das, loggen sich ein und gehen ungeniert u.a. in geschlossene Bereiche, die nur Mitgliedern vorbehalten sind und wer weiß, wohin sonst noch!
Wie kann sowas denn gehen?
Hier ein aktuelles Beispiel:
109.172.31.75 - - [12/Oct/2010:02:38:25 +0200] "GET /index.php HTTP/1.0" 200 52533 "http://www.chronische-infektion.de/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:26 +0200] "GET /index.php HTTP/1.0" 200 46114 "http://www.chronische-infektion.de/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:26 +0200] "GET /ucp.php?mode=register HTTP/1.0" 200 14204 "http://www.chronische-infektion.de/ucp. ... e=register" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:32 +0200] "POST /ucp.php?mode=register HTTP/1.0" 200 17926 "http://www.chronische-infektion.de/ucp. ... e=register" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:32 +0200] "GET /ucp.php?mode=confirm&confirm_id=178729454136591632b125e5114f819e&type=1 HTTP/1.0" 200 6447 "http://www.chronische-infektion.de/ucp. ... e=register" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:38 +0200] "POST /ucp.php?mode=register HTTP/1.0" 200 18002 "http://www.chronische-infektion.de/ucp. ... e=register" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:38 +0200] "GET /ucp.php?mode=login HTTP/1.0" 200 10189 "http://www.chronische-infektion.de/ucp.php?mode=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:38 +0200] "POST /ucp.php?mode=login HTTP/1.0" 200 10490 "http://www.chronische-infektion.de/ucp.php?mode=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:39 +0200] "GET /viewforum.php?f=82&sid=6906a5ef8b6348af2df0e0da8c2d7fe7 HTTP/1.0" 200 11751 "http://www.chronische-infektion.de/view ... da8c2d7fe7" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:39 +0200] "GET /posting.php?mode=post&f=82 HTTP/1.0" 200 10175 "http://www.chronische-infektion.de/post ... =post&f=82" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:40 +0200] "GET /viewforum.php?f=1 HTTP/1.0" 200 16396 "http://www.chronische-infektion.de/viewforum.php?f=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:40 +0200] "GET /posting.php?mode=post&f=82 HTTP/1.0" 200 10175 "http://www.chronische-infektion.de/post ... =post&f=82" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:40 +0200] "GET /viewforum.php?f=2 HTTP/1.0" 200 14910 "http://www.chronische-infektion.de/viewforum.php?f=2" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:41 +0200] "GET /posting.php?mode=post&f=2 HTTP/1.0" 200 10174 "http://www.chronische-infektion.de/post ... e=post&f=2" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:41 +0200] "GET /posting.php?mode=post&f=82 HTTP/1.0" 200 10175 "http://www.chronische-infektion.de/post ... =post&f=82" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
66.249.65.51
Kann mir jemand erklären, wieso die das so einfach können?
Doch niemals kommt dadurch ein neuer User. Ich sperre diese IPs dann zwar, aber es sind zu viele.
Heute habe ich mal wieder meine logfiles von diese Nacht durchgesehen und wieder ein paar Kandidaten entdeckt, die so tun, als würden sie sich registrieren, bestätigen das, loggen sich ein und gehen ungeniert u.a. in geschlossene Bereiche, die nur Mitgliedern vorbehalten sind und wer weiß, wohin sonst noch!
Wie kann sowas denn gehen?
Hier ein aktuelles Beispiel:
109.172.31.75 - - [12/Oct/2010:02:38:25 +0200] "GET /index.php HTTP/1.0" 200 52533 "http://www.chronische-infektion.de/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:26 +0200] "GET /index.php HTTP/1.0" 200 46114 "http://www.chronische-infektion.de/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:26 +0200] "GET /ucp.php?mode=register HTTP/1.0" 200 14204 "http://www.chronische-infektion.de/ucp. ... e=register" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:32 +0200] "POST /ucp.php?mode=register HTTP/1.0" 200 17926 "http://www.chronische-infektion.de/ucp. ... e=register" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:32 +0200] "GET /ucp.php?mode=confirm&confirm_id=178729454136591632b125e5114f819e&type=1 HTTP/1.0" 200 6447 "http://www.chronische-infektion.de/ucp. ... e=register" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:38 +0200] "POST /ucp.php?mode=register HTTP/1.0" 200 18002 "http://www.chronische-infektion.de/ucp. ... e=register" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:38 +0200] "GET /ucp.php?mode=login HTTP/1.0" 200 10189 "http://www.chronische-infektion.de/ucp.php?mode=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:38 +0200] "POST /ucp.php?mode=login HTTP/1.0" 200 10490 "http://www.chronische-infektion.de/ucp.php?mode=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:39 +0200] "GET /viewforum.php?f=82&sid=6906a5ef8b6348af2df0e0da8c2d7fe7 HTTP/1.0" 200 11751 "http://www.chronische-infektion.de/view ... da8c2d7fe7" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:39 +0200] "GET /posting.php?mode=post&f=82 HTTP/1.0" 200 10175 "http://www.chronische-infektion.de/post ... =post&f=82" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:40 +0200] "GET /viewforum.php?f=1 HTTP/1.0" 200 16396 "http://www.chronische-infektion.de/viewforum.php?f=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:40 +0200] "GET /posting.php?mode=post&f=82 HTTP/1.0" 200 10175 "http://www.chronische-infektion.de/post ... =post&f=82" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:40 +0200] "GET /viewforum.php?f=2 HTTP/1.0" 200 14910 "http://www.chronische-infektion.de/viewforum.php?f=2" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:41 +0200] "GET /posting.php?mode=post&f=2 HTTP/1.0" 200 10174 "http://www.chronische-infektion.de/post ... e=post&f=2" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
109.172.31.75 - - [12/Oct/2010:02:38:41 +0200] "GET /posting.php?mode=post&f=82 HTTP/1.0" 200 10175 "http://www.chronische-infektion.de/post ... =post&f=82" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.6 (build 01425); MRSPUTNIK 1, 5, 0, 19 SW)" "www.chronische-infektion.de"
66.249.65.51
Kann mir jemand erklären, wieso die das so einfach können?
