Erfolgreiche Attacke? Seltsamer Login mit User 0
Eingetragen von subetha (13)am 26.03.2015 - 11:52 Uhr in
Hallo,
ich hoffe, dieses Thema ist hier nicht schon hundertmal durchgekaut worden.
Gestern habe ich eine von mir betreute Kunden-Seite auf die Version 6.35 aktualisiert.
Dabei sprang mir folgender Log-Eintrag ins Auge:
"Sitzung für eröffnet." - Genau, die Sitzung wurde für "" eröffnet, also vermutlich den User 0, der keinen Namen und kein Passwort hat. Oder: ein neuer User ohne Namen, der bereits wieder entfernt wurde?
Das finde ich seltsam. Dieser Benutzer hat keine Rollen zugeordnet, aber könnte evtl dennoch Schaden anrichten.
Leider waren die Server-Logfiles für diese Seite abgeschaltet, so dass ich nicht nachschauen konnte, was für Anfragen der webserver zu dieser Zeit bearbeitet hat.
Weiter gibt es noch eine vergebliche Anmeldung als user "sysadm". Das sagt mir, dass die Attacke wohl doch nicht ganz erfolgreich war.
Ist das ein bekanntes Muster? Wie ist das Login als User ohne Namen einzuschätzen?
Grüße, Christian
| Anhang | Größe |
|---|---|
| log-2015-03-26_114817.JPG | 138.15 KB |
- Anmelden oder Registrieren um Kommentare zu schreiben
Da hat jemand versucht reinzukommen
am 26.03.2015 - 12:01 Uhr
der ein bisschen etwas über drupal weiß.
User 0 ist der Gast. Also hat er wahrscheinlich nichts anderes präsentiert bekommen, wie wenn er ohne Anmeldung eingestiegen wäre.
Selbstverständlich wird auch dafür eine Session eröffnet.
Wenn die anderen Versuche von der gleichen IP ausgegangen sind, kannst du von einem Möchtegerncracker ausgehen.