CONTENIDO Forum

Mir scheint es, als versucht auf einer bestimmten Domain jemand über Contenido einzusteigen.
Dies hab ich in den Logs gefunden:

212.181.36.18 - - [09/Aug/2014:23:03:13 +0200] "GET /cms/front_content.php?idcatart=39&start=80+[plm=0]+get+http://xxxx.de/cms/front_content.php?id ... 9&start=80+[0,26520,26407]+-%3E+[n]+post+http
://xxxx.de/cms//front_content.php?idcatart=39+[0,0,18474] HTTP/1.0" 403 417 "http://xxxx.de/cms/front_content.php?id ... 9&start=80+[plm=0]+get+http://xxxx.de/cms/front_conten
t.php?idcatart=39&start=80+[0,26520,26407]+-%3E+[n]+post+http://xxxx.de/cms//front_content.php?idcatart=39+[0,0,18474]" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chro
me/32.0.1700.102 Safari/537.36"

Die eigene Domain habe ich gegen xxxx.de ersetzt.
Kann jemand deuten, was hier versucht wird? Seltsam erscheinen mir die Parameter: +[plm=0]+get+ (gefolgt von einer weiteren URLs.

Moin,

ich würde im Zweifel erstmal den Zugriff mit Pattern-Erkennung blockieren, alles was [plm= enthält, irgendwo in der Index.php.

Decodiert sieht das so aus:

Code: Alles auswählen

GET /cms/front_content.php?idcatart=39&start=80 [plm=0] get http://xxxx.de/cms/front_content.php?idcatart=39&start=80 [0,26520,26407] -> [n] post http
://xxxx.de/cms//front_content.php?idcatart=39 [0,0,18474] HTTP/1.0" 403 417 "http://xxxx.de/cms/front_content.php?idcatart=39&start=80 [plm=0] get http://xxxx.de/cms/front_conten
t.php?idcatart=39&start=80 [0,26520,26407] -> [n] post http://xxxx.de/cms//front_content.php?idcatart=39 [0,0,18474]

Und da wirkt es fast wie eine Ansteuerung für irgendwas.
Wird doch nicht ein Ansteuerungs- oder Hackversuch für die Siemens PLM Produktreihe sein?

CONTENIDO Forum

Logeinträge des Webservers

Logeinträge des Webservers

Re: Logeinträge des Webservers