Spam über quickmod ?

Andi · elokuu 14, 2006, 11:25:58 AP

Hi

ich habe heute wegen einem Spam-Problem in unserem Gästebuch (die umgehen da sogar Captchas) ein kleines Script installiert, was mir bei allen nicht angemeldeten Besuchern die Eingaben über POST mitloggt.

Neben ganz anderen interessanten Sachen, sind da auch dutzende Einträge einer russischen IP, welche permanent versucht über die Quickmod-Funktion des Forums irgendwelchen Spam einzuschleusen.
Hier mal so ein Eintrag:

Koodi [Valitse]

2006-08-14 15:02:04
REMOTE_ADDR:          81.95.146.162
REMOTE_HOST:          ip-146-162.rbnnetwork.com
HTTP_X_FORWARDED_FOR: 
HTTP_USER_AGENT:      Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))
REMOTE_PORT:          58677
REQUEST_URI:          /modules.php?name=Forum&amp;action=quickmod2;topic=16465.0
QUERY_STRING:         name=Forum&amp;action=quickmod2;topic=16465.0
HTTP_REFERER:         http://www.pragmamx.org/modules.php?name=forum&topic=16557.0;prev_next=prev
get: array(2) {
  ["name"]=>
  string(5) "Forum"
  ["amp;action"]=>
  string(23) "quickmod2;topic=16465.0"
}

post: array(8) {
  ["name"]=>
  string(5) "Forum"
  ["sc"]=>
  string(32) "bfd5b24e4bf4f380f7b1d27bfeb1870a"
  ["topic"]=>
  string(5) "16465"
  ["msg"]=>
  string(8) "%msg_id%"
  ["subject"]=>
  string(16) "3d snowy cottage"
  ["message"]=>
  string(1569) "http://snowy.*********.net/3d-snowy-cottage.html <a href=\"http://snowy.**********.net/3d-snowy-cottage.html\">3d snowy cottage</a> :: 
 ////////////  hier noch mehr so Dreck ////////////////////
href=\"http://snowy.**************.net/snowy-roads.html\">snowy roads</a> ::  mefistoklusmanilov"
  ["post"]=>
  string(9) "Speichern"
  ["cancel"]=>
  string(9) "Abbrechen"
}

Die gleiche IP hat auch versucht über das News-Modul spam einzuschleussen...

Ist euch da irgendwas bekannt, gibt es da eine Lücke im SMF?
(bevor ich selbst danach suche)
Oder habt ihr ähnliche Erfahrungen gemacht?

dieter4 · elokuu 14, 2006, 11:37:23 AP

Also ist das nicht ein mensch? Dann kann er auch CAPTCHA umgehen

Andi · elokuu 14, 2006, 12:13:38 IP

Hi

ja, mit den Captcha's haben wir inzwischen den Verdacht, dass da wirklich irgendwo in dritte-Welt Ländern ein paar unterbezahlte Leutchen sitzen, die den Spam manuell absetzen und die Captchas wirklich korrekt eingeben. Das sind ständig andere IP-Adressen, aber im Logfile erscheint ständig das gleiche Muster:
Die kommen auf die Eintragsseite, setzen den Spam ab, fertig.
Jetzt habe ich das Gästebuch nur für angemeldete User freigeschaltet, die kommen immernoch, versuchen den Eintrag, werden aber auf die User-Anmeldeseite umgeleitet und versuchen doch dort tatsächlich mit Phantasieusernamen einzuloggen, was natürlich fehlschlägt....

Aber das ist ja ein anderes Thema, mir geht es hier eigentlich um die Quickmod-Sache

xduugu · elokuu 14, 2006, 01:29:58 IP

Captcha's sind nicht wirklich sicher. Wobei es kompliziertere gibt (die z.T. Menschen nicht mehr eindeutig lösen können) und billige, die schon ewig geknackt sind wie z.B. das aus dem Captcha-Mod hier.

http://www.simplemachines.org/community/index.php?topic=105771.msg681882#msg681882

http://cow.neondragon.net/index.php/1159-More-Captcha-Wtf

Andi · elokuu 14, 2006, 01:52:38 IP

Hi

Schon klar, dass Captchas nicht der Weissheit letzter Schluss sind.
Aber glaub mir, Jubilee, der bei uns im Team sich damit beschäftigt hat sich da richtig reingesteigert, um einen total verrückten Algoritmus konfigurierbar zu machen.
Zuletzt war bei uns im Gästebuch folgendes Bildchenmuster aktiv:
http://www.pragmamx.org/includes/captcha/captchaimg.php
Und trotzdem wurden Einträge eingefügt, das kann keine Maschine sein....

xduugu · elokuu 14, 2006, 02:16:06 IP

Und funktioniert der Spam beim Gästebuch, aber nicht beim Quickmod bzw. was ist das Problem, wenn es beim Quickmod nur versucht wird.

Btw Was meinst du mit Quickmod überhaupt und was ist für dich das News-Modul (das, das im SMF drinnen ist?)

mediman · elokuu 14, 2006, 02:48:57 IP

Lainaus käyttäjältä: Andi - elokuu 14, 2006, 12:13:38 IP
Zuletzt war bei uns im Gästebuch folgendes Bildchenmuster aktiv:
http://www.pragmamx.org/includes/captcha/captchaimg.php
Und trotzdem wurden Einträge eingefügt, das kann keine Maschine sein....

Euer Captcha ist gut, aber auch zu decodieren, da die Störstriche nur 2 Winkel besitzen, die nimmt man im ImageMagick einfach raus und fertig ist.

Andi · elokuu 14, 2006, 06:17:51 IP

Naja, der Captcha Kram ist so ne Sache, Jubilee ist noch dran, das Gästebuch haben wir wieder deaktiviert. Die Captchas waren zum Schluss so extrem eingestellt, dass ich sie kaum noch entziffern konnte und ne Fehlerrate von min. 50% brachten....
Trotzdem kamen Einträge über verschiedenste IP Adressen.
Das ist kein Bot, glaub ich nicht,

Aber egal.
Problem was SMF betrifft ist nach wie vor der Russe, der versucht über "action=quickmod2" Spam einzuschleussen. Der hat immer die gleiche IP-Adresse und die konnte ich per .htaccess sperren.
Im Server Error Log waren/ sind dann Zugriffsversuche im 10 Sekunden Abstand zu verzeichnen...
Den Dreckar... leite ich jetzt um auf seine eigene IP. Im Moment ist Ruhe.

Koodi [Valitse]

RewriteCond %{REMOTE_ADDR} ^81.95.14[4567].
RewriteRule ^(.*)$ http://www.rbnnetwork.com/ [L,R=301]

Hat jemand ne Idee, wie der auf sowas kommt?
Muss ja nen Grund haben, denke da ist wirklich ne Lücke, die der versucht auszunutzen.
Schaut doch mal bitte in eure logfiles, ob der da auch auftaucht.
IP: 81.95.146.162

mediman · elokuu 15, 2006, 04:25:40 AP

Quickmod ist nicht das Problem, wie auch SMF nicht, meist wird sowas nur als Einstieg genutzt.

Das Problem sind diese katastrophalen "CMS" wie Joomla/Mambo und deren noch katastrophaler Forks.
Leider wissen die "Nachbauer" solcher komplexen CMS oft nicht was sie tun, da sie einfach mit dem Code des CMS nicht gewachsen sind.

Just as an info (Gestern):

Be aware, there are MAJOR holes in at leats 40 mambo/joomla components.

Hackers are currently on a spree targetting mambo and joomla sites.

the 1.1.5 bridge is upgraded to 1.1.5a (USE IT!)
there is a list of vulnerable components on the joomla forums site. READ IT!

mediman

Jorin · elokuu 15, 2006, 04:40:52 AP

Lainaus käyttäjältä: mediman - elokuu 15, 2006, 04:25:40 AP
Just as an info (Gestern):

Be aware, there are MAJOR holes in at leats 40 mambo/joomla components.

Hackers are currently on a spree targetting mambo and joomla sites.

the 1.1.5 bridge is upgraded to 1.1.5a (USE IT!)
there is a list of vulnerable components on the joomla forums site. READ IT!

mediman

Naja, Halbwahrheiten sind aber nicht der Weisheit letzter Schluss. Die Sicherheitslücken dieser Drittkomponenten sind seit Wochen bekannt und es gibt für nahezu alle Modifikationen inzwischen Bugfixes. Auch wurde inzwischen ein Guide veröffentlicht, der in Zukunft dafür sorgen soll, dass die Entwickler der Komponenten und Module ein gewisses Maß an Sicherheit in ihre Projekte von Beginn an einbauen. Zu guter Letzt waren ca. 50% aller gehackten Joomla-Seiten auf Grund von Ungereimtheiten wie falschen Dateirechten, unsicheren Server-Einstellungen, veralteten Joomla-Versionen, etc. grundsätzlich sowieso gefährdet.

Andi · elokuu 15, 2006, 05:14:03 AP

Moin

LainaaDas Problem sind diese katastrophalen "CMS" wie Joomla/Mambo und deren noch katastrophaler Forks.
Leider wissen die "Nachbauer" solcher komplexen CMS oft nicht was sie tun, da sie einfach mit dem Code des CMS nicht gewachsen sind.

Ich denke du meinst da eher die Leutchen die für diese CMS'e, Bridges, Module und Addons bauen, die sich nichtmal an die minimalsten Regeln von sicheren Scripten halten. Nicht die Macher der CMS selbst. Das wird sich bei Joomla nicht anders verhalten als bei anderen cms. Der grösste Teil von Sicherheitslücken kommt von Fremd-Scripten und die werfen ein schlechtes Licht auf das CMS...

Dass hier quickmod2 nur als Einstieg verwendet wird, glaube ich nicht. Einstieg für was und warum gerade darüber?
Ich habe jetzt Ewigkeiten gegoogelt, nach quickmod bzw. quickmod2. Die einzigen Verweise die ich da gefunden habe, sind von verschiedenen SMF Foren. Immer SMF Foren! Diesen String quickmod2 gibt es nur im SMF Forum, es kann also auch keine Verwechslung sein, dass die Spammer meinen, es wäre ein phpBB-Forum, was man auch in unseren Logfiles beobachten kann...

Und wenn ich unsere Logfiles ansehe, dann ist Quickmod schon ein Problem für uns:

Koodi [Valitse]

ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:03 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=15487.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=15487.msg108284" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:03 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=17462.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=17462.msg121250" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:06 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=16769.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/forum-topic-16769.0.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:08 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=16229.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&amp;topic=16229.new" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:08 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=13852.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=13852.msg94835" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:09 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=3435.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=3435.msg29281" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:11 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=16601.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/forum-topic-16601.0.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:18 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=17546.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&amp;topic=17546.msg%25msg_id%25" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:22 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=4960.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=4960.msg35544" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:24 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=17418.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=17418.msg120983" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:24 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=15834.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=15834.msg114179" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:26 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=15834.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=15834.msg113239" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:30 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=15834.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=15834.msg109423" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:37 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=13852.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=13880.0;prev_next=next" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:37 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=17462.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=17462.msg121256" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:37 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=16698.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=17535.0;prev_next=next" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:37 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=1109.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/forum-topic-1109.0.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:40 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=16465.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/forum-topic-16465.0.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:41 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=17516.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=17445.0;prev_next=prev" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:42 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=15834.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=15834.msg112516" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:45 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=15112.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/forum-topic-15112.0.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:51 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=16698.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/forum-topic-16698.0.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:52 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=14477.25 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=14477.msg114426" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:53 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=16601.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=16251.0;prev_next=next" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"
ip-146-162.rbnnetwork.com - - [15/Aug/2006:00:11:55 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=15834.0 HTTP/1.0" 403 282 "http://www.pragmamx.org/modules.php?name=forum&topic=15834.msg109551" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))"

Nach dem Sperren der IP seieht es so aus:

Koodi [Valitse]

[Tue Aug 15 00:13:08 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:08 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:08 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:09 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:13 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:15 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:15 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:15 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:15 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:17 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:19 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:20 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:21 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:22 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:24 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:24 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:26 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:27 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:27 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:28 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:31 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:33 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:35 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:35 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:36 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:36 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:37 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:38 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:38 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:39 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:39 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:40 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:41 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:43 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:44 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:46 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:46 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:47 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:48 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:48 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:53 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:54 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:13:59 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:14:00 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:14:04 2006] [error] [client 81.95.146.162] client denied by server configuration: *******
[Tue Aug 15 00:14:05 2006] [error] [client 81.95.146.162] client denied by server configuration: *******

Erst nach der Umleitung dieser IP per mod_rewrite auf http://localhost ist jetzt Ruhe damit.

Wobei seit heute Morgen auch andere IP's auftauchen, die in noch unregelmässigen Abständen versuchen da was abzusetzen.

Koodi [Valitse]

brf-ce02-g2-0.tm.net.my - - [15/Aug/2006:08:32:02 +0200] "POST /modules.php?name=Forum&amp;action=quickmod2;topic=17736.0 HTTP/1.1" 200 20545 "http://www.pragmamx.org/forum-topic-17736.0.html" "Opera/8.54 (Windows NT 5.1; U; en)"
fw.i-trade.hu - - [15/Aug/2006:10:01:24 +0200] "POST /modules.php?name=Forum&action=quickmod2;topic=7200.0 HTTP/1.0" 200 20509 "http://www.pragmamx.org/modules.php?name=Forum&action=quickmod2;topic=7200.0" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"

Ich glaube nicht, dass sich ein Spammer (oder dessen robot) die Mühe macht, stundenlang diesen Quatsch zu versuchen, wenn es keinen Grund dafür gibt.

PS:

LainaaEuer Captcha ist gut, aber auch zu decodieren, da die Störstriche nur 2 Winkel besitzen, die nimmt man im ImageMagick einfach raus und fertig ist.

Schau dir mal die Buchstaben und Zahlen im "Hintergrund" an, da sind nicht nur diese Störstriche...

mediman · elokuu 15, 2006, 09:53:20 AP

@andy
Wo bitte geht aus den Logauszügen irgendeine Art Angriff oder Angriffstrategie hervor?
Log doch mal seine Eingaben mit. Nicht nur den Zugriff.
Vllt. versucht er 'nen redirect reinzubringen oder ein Flashfile. Oder er versucht nen XSS-Angriff.

@nehcregit
Zum Thema Halbwahrheiten, die Module und "thirdparty"-Hacks lass ich mal aussen vor.

Es geht darum, dass mit jeder neuen Version überdurchschnittlich viele exploitbare Holes gefunden werden und dass genau dies die "Hacker" und Scriptkidies animiert nach ungefixten Installationen zu suchen.

Wenn ein Scriptkidie die Changelog 1.0.10 von Joomla liest, dann weiss er gar nicht wo er zuerst anfangen soll. Und ungefixte Versionen wird man bei der Fülle an Holes ohne weiteres finden.

Das ist das Problem.

Andi · elokuu 15, 2006, 10:36:42 AP

Hi

das habe ich in meinem ersten Post doch schon geschrieben. Die Angriffsstrategie ist das Absetzen von Spam. Hier nochmal 3 direkt aufeinanderfolgende Versuche, komplett mit $_GET und $_POST Daten...
Es muss von einem Formular auf einem fremden Server kommen und der referer muss gefaked sein, weil das angegebene Post-Icon "mini-lulu.gif" gibt es bei uns nicht, kann also im Formular bei uns nicht ausgewählt werden.

Sorry für den ungekürzten Spam

Koodi [Valitse]

------------------------------------------------------------------------------------------------------------
2006-08-14 13:24:10
REMOTE_ADDR:          81.95.146.162
QUERY_STRING:         name=Forum&amp;action=quickmod2;topic=13852.0
REQUEST_URI:          /modules.php?name=Forum&amp;action=quickmod2;topic=13852.0
REMOTE_PORT:          50337
REMOTE_HOST:          ip-146-162.rbnnetwork.com
HTTP_REFERER:         h**p://www.pragmamx.org/modules.php?name=forum&topic=13880.0;prev_next=next
HTTP_USER_AGENT:      Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))
HTTP_X_FORWARDED_FOR: 
get: array(2) {
  ["name"]=>
  string(5) "Forum"
  ["amp;action"]=>
  string(23) "quickmod2;topic=13852.0"
}

post: array(8) {
  ["name"]=>
  string(5) "Forum"
  ["sc"]=>
  string(32) "6785a8f9273e918d83569fa3ede74437"
  ["topic"]=>
  string(5) "13852"
  ["msg"]=>
  string(8) "%msg_id%"
  ["subject"]=>
  string(20) "savana passenger van"
  ["message"]=>
  string(1854) "h**p://passenger.unleashed-entertainment.com/savana-passenger-van.html <a href=\"h**p://passenger.unleashed-entertainment.com/savana-passenger-van.html\">savana passenger van</a> :: h**p://passenger.unleashed-entertainment.com/fs-passenger.html <a href=\"h**p://passenger.unleashed-entertainment.com/fs-passenger.html\">fs passenger</a> :: h**p://passenger.unleashed-entertainment.com/pickup-passenger-vehicle.html <a href=\"h**p://passenger.unleashed-entertainment.com/pickup-passenger-vehicle.html\">pickup passenger vehicle</a> :: h**p://passenger.unleashed-entertainment.com/mayflower-passenger.html <a href=\"h**p://passenger.unleashed-entertainment.com/mayflower-passenger.html\">mayflower passenger</a> :: h**p://passenger.unleashed-entertainment.com/chevrolet-express-passenger.html <a href=\"h**p://passenger.unleashed-entertainment.com/chevrolet-express-passenger.html\">chevrolet express passenger</a> :: h**p://passenger.unleashed-entertainment.com/passenger-bus.html <a href=\"h**p://passenger.unleashed-entertainment.com/passenger-bus.html\">passenger bus</a> :: h**p://passenger.unleashed-entertainment.com/chevy-express-passenger.html <a href=\"h**p://passenger.unleashed-entertainment.com/chevy-express-passenger.html\">chevy express passenger</a> :: h**p://passenger.unleashed-entertainment.com/gmc-passenger-vans.html <a href=\"h**p://passenger.unleashed-entertainment.com/gmc-passenger-vans.html\">gmc passenger vans</a> :: h**p://passenger.unleashed-entertainment.com/water-transportation-of-passenger.html <a href=\"h**p://passenger.unleashed-entertainment.com/water-transportation-of-passenger.html\">water transportation of passenger</a> :: h**p://passenger.unleashed-entertainment.com/passenger-status.html <a href=\"h**p://passenger.unleashed-entertainment.com/passenger-status.html\">passenger status</a> ::  mefistoklusmanilov"
  ["post"]=>
  string(9) "Speichern"
  ["cancel"]=>
  string(9) "Abbrechen"
}

------------------------------------------------------------------------------------------------------------
2006-08-14 13:24:11
REMOTE_ADDR:          81.95.146.162
QUERY_STRING:         name=Forum&amp;action=quickmod2;topic=17418.0
REQUEST_URI:          /modules.php?name=Forum&amp;action=quickmod2;topic=17418.0
REMOTE_PORT:          49946
REMOTE_HOST:          ip-146-162.rbnnetwork.com
HTTP_REFERER:         h**p://www.pragmamx.org/modules.php?name=forum&topic=17418.msg120983
HTTP_USER_AGENT:      Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))
HTTP_X_FORWARDED_FOR: 
get: array(2) {
  ["name"]=>
  string(5) "Forum"
  ["amp;action"]=>
  string(23) "quickmod2;topic=17418.0"
}

post: array(21) {
  ["name"]=>
  string(5) "Forum"
  ["email"]=>
  string(17) "[email protected]"
  ["hide_email"]=>
  string(1) "1"
  ["comment"]=>
  string(1460) "h**p://kris.unleashed-entertainment.com/kris-y-angel.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-y-angel.html\">kris y angel</a> :: h**p://kris.unleashed-entertainment.com/kris-thompson.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-thompson.html\">kris thompson</a> :: h**p://kris.unleashed-entertainment.com/kris-lemche.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-lemche.html\">kris lemche</a> :: h**p://kris.unleashed-entertainment.com/kris-melody.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-melody.html\">kris melody</a> :: h**p://kris.unleashed-entertainment.com/kris-lewis.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-lewis.html\">kris lewis</a> :: h**p://kris.unleashed-entertainment.com/kris-lopez.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-lopez.html\">kris lopez</a> :: h**p://kris.unleashed-entertainment.com/dj-kris.html <a href=\"h**p://kris.unleashed-entertainment.com/dj-kris.html\">dj kris</a> :: h**p://kris.unleashed-entertainment.com/kris-phillips.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-phillips.html\">kris phillips</a> :: h**p://kris.unleashed-entertainment.com/kris-thomas.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-thomas.html\">kris thomas</a> :: h**p://kris.unleashed-entertainment.com/kris-wood.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-wood.html\">kris wood</a> ::  mefistoklusmanilov"
  ["submit"]=>
  string(6) "Submit"
  ["action"]=>
  string(6) "addmsg"
  ["url"]=>
  string(7) "h**p://"
  ["language"]=>
  string(2) "nl"
  ["message"]=>
  string(1487) "h**p://kris.unleashed-entertainment.com/kris-miss.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-miss.html\">kris miss</a> :: h**p://kris.unleashed-entertainment.com/kris-jenner.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-jenner.html\">kris jenner</a> :: h**p://kris.unleashed-entertainment.com/kris-baker.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-baker.html\">kris baker</a> :: h**p://kris.unleashed-entertainment.com/kris-rose.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-rose.html\">kris rose</a> :: h**p://kris.unleashed-entertainment.com/kris-peterson.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-peterson.html\">kris peterson</a> :: h**p://kris.unleashed-entertainment.com/kris-kristofferson-lyric.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-kristofferson-lyric.html\">kris kristofferson lyric</a> :: h**p://kris.unleashed-entertainment.com/kris-wright.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-wright.html\">kris wright</a> :: h**p://kris.unleashed-entertainment.com/kris-jenkins.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-jenkins.html\">kris jenkins</a> :: h**p://kris.unleashed-entertainment.com/kris-turner.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-turner.html\">kris turner</a> :: h**p://kris.unleashed-entertainment.com/kris-b.html <a href=\"h**p://kris.unleashed-entertainment.com/kris-b.html\">kris b</a> ::  mefistoklusmanilov"
  ["score"]=>
  string(1) "5"
  ["password"]=>
  string(8) "PASSWORD"
  ["homepage"]=>
  string(57) "h**p://kris.unleashed-entertainment.com/kris-y-angel.html"
  ["PHPSESSID"]=>
  string(32) "8ee0d3c3ebb80da63a4a6c9391481c22"
  ["page"]=>
  string(2) "15"
  ["icq"]=>
  string(0) ""
  ["sc"]=>
  string(32) "f9d5e2ae65c649a911fcd0912707d007"
  ["topic"]=>
  string(5) "17418"
  ["msg"]=>
  string(8) "%msg_id%"
  ["subject"]=>
  string(9) "kris miss"
  ["post"]=>
  string(9) "Speichern"
  ["cancel"]=>
  string(9) "Abbrechen"
}

------------------------------------------------------------------------------------------------------------
2006-08-14 13:24:11
REMOTE_ADDR:          81.95.146.162
QUERY_STRING:         name=Forum&amp;action=quickmod2;topic=17462.0
REQUEST_URI:          /modules.php?name=Forum&amp;action=quickmod2;topic=17462.0
REMOTE_PORT:          50318
REMOTE_HOST:          ip-146-162.rbnnetwork.com
HTTP_REFERER:         h**p://www.pragmamx.org/modules.php?name=forum&topic=17462.msg121243
HTTP_USER_AGENT:      Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.3 (build 01218))
HTTP_X_FORWARDED_FOR: 
get: array(2) {
  ["name"]=>
  string(5) "Forum"
  ["amp;action"]=>
  string(23) "quickmod2;topic=17462.0"
}

post: array(16) {
  ["color"]=>
  string(7) "#666699"
  ["name"]=>
  string(5) "Forum"
  ["email"]=>
  string(17) "[email protected]"
  ["subj"]=>
  string(26) "reproduction and sexuality"
  ["pwd"]=>
  string(0) ""
  ["url"]=>
  string(79) "h**p://reproduction.unleashed-entertainment.com/reproduction-and-sexuality.html"
  ["color2"]=>
  string(7) "#008040"
  ["comment"]=>
  string(1911) "h**p://reproduction.unleashed-entertainment.com/reproduction-and-sexuality.html <a href=\"h**p://reproduction.unleashed-entertainment.com/reproduction-and-sexuality.html\">reproduction and sexuality</a> :: h**p://reproduction.unleashed-entertainment.com/vegetative-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/vegetative-reproduction.html\">vegetative reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/biology-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/biology-reproduction.html\">biology reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/reproduction-antler.html <a href=\"h**p://reproduction.unleashed-entertainment.com/reproduction-antler.html\">reproduction antler</a> :: h**p://reproduction.unleashed-entertainment.com/bird-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/bird-reproduction.html\">bird reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/reproduction-vintage-fabric.html <a href=\"h**p://reproduction.unleashed-entertainment.com/reproduction-vintage-fabric.html\">reproduction vintage fabric</a> :: h**p://reproduction.unleashed-entertainment.com/fish-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/fish-reproduction.html\">fish reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/snail-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/snail-reproduction.html\">snail reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/canine-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/canine-reproduction.html\">canine reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/horse-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/horse-reproduction.html\">horse reproduction</a> ::  mefistoklusmanilov"
  ["icon"]=>
  string(13) "mini-lulu.gif"
  ["sc"]=>
  string(32) "6e75f1d716f39954bc5927e7da4fb973"
  ["topic"]=>
  string(5) "17462"
  ["msg"]=>
  string(8) "%msg_id%"
  ["subject"]=>
  string(17) "frog reproduction"
  ["message"]=>
  string(1932) "h**p://reproduction.unleashed-entertainment.com/frog-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/frog-reproduction.html\">frog reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/antique-reproduction-bed.html <a href=\"h**p://reproduction.unleashed-entertainment.com/antique-reproduction-bed.html\">antique reproduction bed</a> :: h**p://reproduction.unleashed-entertainment.com/cell-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/cell-reproduction.html\">cell reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/cat-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/cat-reproduction.html\">cat reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/oil-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/oil-reproduction.html\">oil reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/antique-reproduction-doll.html <a href=\"h**p://reproduction.unleashed-entertainment.com/antique-reproduction-doll.html\">antique reproduction doll</a> :: h**p://reproduction.unleashed-entertainment.com/center-for-human-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/center-for-human-reproduction.html\">center for human reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/female-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/female-reproduction.html\">female reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/museum-reproduction.html <a href=\"h**p://reproduction.unleashed-entertainment.com/museum-reproduction.html\">museum reproduction</a> :: h**p://reproduction.unleashed-entertainment.com/antique-reproduction-lighting.html <a href=\"h**p://reproduction.unleashed-entertainment.com/antique-reproduction-lighting.html\">antique reproduction lighting</a> ::  mefistoklusmanilov"
  ["post"]=>
  string(9) "Speichern"
  ["cancel"]=>
  string(9) "Abbrechen"
}

Edit:
was mir gerade auffällt, die Gestern (versucht) eingeschleusten Links, verwiesen alle auf einen redirekt, der über eine ominöse Suchseite einen Trojaner installieren wollte.
Jetzt sind die Links alle tot (404)

deswegen hier noch ein aktueller, mit funktionierenden Links, aber einem anderen Spammer:

Koodi [Valitse]

------------------------------------------------------------------------------------------------------------
2006-08-15 16:34:41
REMOTE_ADDR:          72.36.132.106
REMOTE_HOST:          106.132.36.72.reverse.layeredtech.com
HTTP_X_FORWARDED_FOR: 
HTTP_USER_AGENT:      User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
REMOTE_PORT:          46113
REQUEST_URI:          /modules.php?name=Forum&amp;action=quickmod2;topic=14356.0
QUERY_STRING:         name=Forum&amp;action=quickmod2;topic=14356.0
HTTP_REFERER:         h**p://www.pragmamx.org/forum-topic-14356.0.html
get: array(2) {
  ["name"]=>
  string(5) "Forum"
  ["amp;action"]=>
  string(23) "quickmod2;topic=14356.0"
}

post: array(7) {
  ["name"]=>
  string(5) "Forum"
  ["sc"]=>
  string(32) "888c9afe76bdf002efaa28ace7bb8bc4"
  ["topic"]=>
  string(5) "14356"
  ["msg"]=>
  string(8) "%msg_id%"
  ["post"]=>
  string(9) "Speichern"
  ["subject"]=>
  string(5) "hello"
  ["message"]=>
  string(848) "Hi, nice very nice page!..
<a href=h**p://pharma-store.30mb.com/>cephalexin</a>
<a href=h**p://pharma-store.30mb.com/sitemap.html>cephalexin sitemap</a>
<a href=\"h**p://buyphenterminet.su.pl/\">buy phentermine</a>.
<a href=\"h**p://www.buy-viagra-onlines.goog.pl/\">buy viagra online</a>.
<a href=\"h**p://www.buy-hydrocodone.goog.pl/\">buy hydrocodone</a>.
<a href=\"h**p://www.online-casino-gambling.goog.pl/\">online casino gambing</a>.
<a href=\"h**p://www.buy-xanaxx.goog.pl/\">buy xanax</a>.
<a href=\"h**p://ephedra-diet-pill.su.pl/\">ephedra diet pill</a>.
<a href=\"h**p://www.buy-hydrocodone.goog.pl/\">buy hydrocodone</a>.
<a href=\"h**p://buy-carisoprodol.su.pl/\">buy carisoprodol</a>.
<a href=\"h**p://www.buy-hydrocodone.goog.pl/\">buy hydrocodone</a>.
<a href=\"h**p://buyphenterminet.su.pl/\">buy phentermine</a>.

Good luck !"
}

Noch ein Edit:

Bei uns schlägt das alles fehl, weil anonymes Posten und Ändern der Beiträge nicht erlaubt ist.
Was aber wenn?
Das sollte man ernstaft prüfen, irgendwas muss ja sein....

noex · elokuu 15, 2006, 01:34:00 IP

Hab mir das jetzt mal angesehen, die von dir oft erwähnte quickmod2 wird verwendet um Beiträge zu löschen. Es kann über diese Funktion nichts gepostet werden.

Damit das was du gepostet hast funktioniert, müssten Gäste die "Themen löschen" Berechtigung haben. Bevor es überhaupt soweit kommt wird die SMF eigene Session überprüft. Sowie die Userrechte.

Bin natürlich kein Dev, aber das kann man schon mal aus dem Code auslesen.

Das was bei dir aus den Logfiles hervorgeht, halte (ich persönlich) für reinen Mist. Also nicht deine Logfiles sondern die Dinge welche "ausprobiert" werden.

Wenn du wirkliche bedenken hast, kannst die auch gerne hier Melden:
http://www.simplemachines.org/about/security.php

Ich denke eher, das hier irgendjemand auf der Suche nach Sicherheitslücken ist und du zum "Test" Opfer geworden bist.

lg
noex

mediman · elokuu 15, 2006, 01:55:58 IP

Lainaus käyttäjältä: noex - elokuu 15, 2006, 01:34:00 IP
Hab mir das jetzt mal angesehen, die von dir oft erwähnte quickmod2 wird verwendet um Beiträge zu löschen. Es kann über diese Funktion nichts gepostet werden.

Damit das was du gepostet hast funktioniert, müssten Gäste die "Themen löschen" Berechtigung haben. Bevor es überhaupt soweit kommt wird die SMF eigene Session überprüft. Sowie die Userrechte.

Bin natürlich kein Dev, aber das kann man schon mal aus dem Code auslesen.

Das was bei dir aus den Logfiles hervorgeht, halte (ich persönlich) für reinen Mist. Also nicht deine Logfiles sondern die Dinge welche "ausprobiert" werden.

Wenn du wirkliche bedenken hast, kannst die auch gerne hier Melden:
http://www.simplemachines.org/about/security.php

Ich denke eher, das hier irgendjemand auf der Suche nach Sicherheitslücken ist und du zum "Test" Opfer geworden bist.

lg
noex

Naja, eben was ich sage, da probiert wer was aus, ohne wirklich zu wissen was er tut.
Im Übrigen erfordert das Absetzen von Spam keine Sicherheitslücken.

IP-Bereich sperren und Ruhe ist.

Andi · elokuu 15, 2006, 03:26:36 IP

Moin

ja, da hab ich mich zum Horst gemacht....
Klar, ich hätte ja mal selbst schauen können, was diese Funktion eigentlich wirklich macht. Aber diese ganze Spam Geschichte hat mich wohl so genervt und betriebsblind gemacht, dass ich blindlinks diesem Phantom hinterhergerannt bin. Ich war die ganze Zeit der festen Meinung, dass es sich bei Quickmod um die Inline Edit Geschichte per Ajax handelt

Ok, erledigt.

Nach wie vor ist mir aber ein Rätsel, warum die sich ausgerechnet diese Funktion ausgesucht haben, die ja wirklich völlig sinnlos für sowas ist. Es ist ja inzwischen nicht nur dieser Russe, der es probiert, sondern etliche Andere (wobei der Russe immernoch aktiv ist). Und ein reines Ausprobieren ist das sicher nicht, dazu ist es m.E. zu intensiv.
Die spinnen die Spammer, wird Zeit dass da etwas passiert, aber was...

mediman · elokuu 15, 2006, 05:13:05 IP

Lainaus käyttäjältä: Andi - elokuu 15, 2006, 03:26:36 IP
Moin

ja, da hab ich mich zum Horst gemacht....
Klar, ich hätte ja mal selbst schauen können, was diese Funktion eigentlich wirklich macht. Aber diese ganze Spam Geschichte hat mich wohl so genervt und betriebsblind gemacht, dass ich blindlinks diesem Phantom hinterhergerannt bin. Ich war die ganze Zeit der festen Meinung, dass es sich bei Quickmod um die Inline Edit Geschichte per Ajax handelt

Ok, erledigt.

Nach wie vor ist mir aber ein Rätsel, warum die sich ausgerechnet diese Funktion ausgesucht haben, die ja wirklich völlig sinnlos für sowas ist. Es ist ja inzwischen nicht nur dieser Russe, der es probiert, sondern etliche Andere (wobei der Russe immernoch aktiv ist). Und ein reines Ausprobieren ist das sicher nicht, dazu ist es m.E. zu intensiv.
Die spinnen die Spammer, wird Zeit dass da etwas passiert, aber was...

Das kann u.U. daran liegen, dass sie vorgefertigte Skripte nutzen.
Guck die mal messages an unter /var/log/ da wirste ständig immer wieder exakt gleiche Anfragen nach Drupal, phpmyadmin, phpMyAdmin, mysql, MySQL und so weiter finden. Wirklich exakt die selbe Reihenfolge, egal ob der Angreifer in Korea oder Brasilien sitzt. Die nutzen halt Skripte für sowas und irgend so ein Blindfisch hat sowas wohl eingetragen.
Eventuell ein böser Fehler (shoutbox mit quickmod) verwechselt

mediman

Jorin · elokuu 16, 2006, 02:00:54 AP

Lainaus käyttäjältä: mediman - elokuu 15, 2006, 09:53:20 AP
@nehcregit
Zum Thema Halbwahrheiten, die Module und "thirdparty"-Hacks lass ich mal aussen vor.

Es geht darum, dass mit jeder neuen Version überdurchschnittlich viele exploitbare Holes gefunden werden und dass genau dies die "Hacker" und Scriptkidies animiert nach ungefixten Installationen zu suchen.

Wenn ein Scriptkidie die Changelog 1.0.10 von Joomla liest, dann weiss er gar nicht wo er zuerst anfangen soll. Und ungefixte Versionen wird man bei der Fülle an Holes ohne weiteres finden.

Das ist das Problem.

Ich verstehe schon, was du meinst. Das ist wohl wie mit jeder Software, ob kommerziell oder OpenSource: Immer mehr Funktionen machen das ganze eben auch immer umfangreicher und übersichtlicher. Da ist es leicht, mal die eine oder andere Lücke zu übersehen.

Deine Aussage, oder eher das Zitat, hörte sich halt sehr nach einem allgemeinen Rundumschlag gegen jedes CMS an, die irgendwie generell ja alle mies sind. Und das wollte ich so unkommentiert nicht stehen lassen, da man mit einem CMS sehr viel Spaß haben kann. Dass man dafür auch was tun muss, sollte klar sein.

mediman · elokuu 16, 2006, 02:38:16 AP

Lainaus käyttäjältä: nehcregit - elokuu 16, 2006, 02:00:54 AP
Ich verstehe schon, was du meinst. Das ist wohl wie mit jeder Software, ob kommerziell oder OpenSource: Immer mehr Funktionen machen das ganze eben auch immer umfangreicher und übersichtlicher. Da ist es leicht, mal die eine oder andere Lücke zu übersehen.

Deine Aussage, oder eher das Zitat, hörte sich halt sehr nach einem allgemeinen Rundumschlag gegen jedes CMS an, die irgendwie generell ja alle mies sind. Und das wollte ich so unkommentiert nicht stehen lassen, da man mit einem CMS sehr viel Spaß haben kann. Dass man dafür auch was tun muss, sollte klar sein.

Ich hab nix gegen ein CMS.

Simple Machines Community Forum

Uutiset: