Jump to content

Merkwürdige Zugriffe


Recommended Posts

Interessant ist, dass es dabei zu einer Ausgabe kommt. Ich habe gerade nicht den Kopf dazu mir das genauer anzuschauen, aber was haltet ihr davon?

SQL Injection. In diesem Falle nicht weiter tragisch, da die betroffene Tabelle eh nur die Postings enthält.

Link to post
Share on other sites
Original von Powie

Danke für die Info. Wie bist du darauf gekommen? Über das Apache Logfile!?



Zufall :-) Ein Bot für Bannereinblendungen hat einen 404-Zugriffsfehler verursacht, weil er wohl die Seite crawlen wollte, auf der vorher ein Banner eingeblendet wurde. Ich logge solche Fehlzugriffe weg und lass sie mir regelmäßig per mail schicken...


SQL Injection. In diesem Falle nicht weiter tragisch, da die betroffene Tabelle eh nur die Postings enthält.

Jain, hab grade einen Blick in die logfiles geworfen, und dabei den Versuch entdeckt auf die usertabelle zuzugreifen.

[...]/**/union/**/select/**/1,concat(char(117,115,101,114,110,97,109,101,58),username,char(32,112,119,100,58),pwd),4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/pfuser/* 

<= hier kommt zwar ein DB-Fehler, aber möglicherweise funktioniert das, wenn man die Spaltenbreite der usertabelle weiß oder wie auch immer. Ich kann hier während der Arbeitszeit nicht mit dem nötigen Synthax auseinandersetzen und so lange rumprobieren bis es möglicherweise funktioniert :-)

Glücklicherweise habe ich einen Tabellenprefix eingestellt, der nicht offensichtlich ist ;-)

Link to post
Share on other sites

Mein error_log ist voll davon. Hier wird versucht zum Beispiel auf die /cms/news/activate.php...... zu posten, das File gibts aber garnicht. Auf einer anderen Maschine find ich das auch im Access_loog, hier wird ein Joomla CMS angegriffen, sowie ein wordpress blog. Scheint also Methode dahinter zu sein so nach Lücken zu spähen.

Link to post
Share on other sites

Ja, bei mir ist auch alles voll von solchen Zugriffen, das ist normal. Es ging hier aber explizit um ein pScript ging (bzw. pSys) und auchh erfolgreich gewesen wäre, wenn ich keinen Tabellenprefix eingestellt hätte. Das pSys bzw. die nicht mehr gepflegten pScripte scheinen sich langsam zu einem interessanten Angriffsziel zu entwickeln :-)


btw: das obige Beispiel mit username und pwd ist so angepasst, dass es nicht funktionieren kann. Ich wollte nur die Richtung zeigen und keine Anleitung schreiben ;-)

Link to post
Share on other sites
Jain, hab grade einen Blick in die logfiles geworfen, und dabei den Versuch entdeckt auf die usertabelle zuzugreifen.

Ok, das ist natürlich auch was anderes, als Du in deinem ersten Post geschrieben hast. Du solltest dein Passwort ändern.


<= hier kommt zwar ein DB-Fehler, aber möglicherweise funktioniert das, wenn man die Spaltenbreite der usertabelle weiß oder wie auch immer.

Exakt. Ein UNION SELECT muss immer genau so viele Spalten zurückliefern, wie eigentlich Spalten selektiert wurden.


Glücklicherweise habe ich einen Tabellenprefix eingestellt, der nicht offensichtlich ist

Das stimmt zumindest so lange, wie keines der Skripte SQL-Fehlermeldungen einfach durchreicht. Sicher sein kannst Du diesbezüglich nicht.


Scheint also Methode dahinter zu sein so nach Lücken zu spähen.

Ja. Rechenzeit ist so günstig, dass es effizienter ist, direkt den Exploit zu testen, als lange mit der Suche nach betroffenen Applikationen zuzubringen. Typisch sind auch NIMDAs oder Code Red (II), die Apache angreifen - obwohl beide nur mit dem IIS funktionieren.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...