Hacking & Exploits attempts, wat er aan te doen  Naar boven

  • RaZ
    RaZ's Avatar
    zPro
    • Rang: zPro
    • Geregistreerd: 18.03.06
    • Laatst gezien: 06.01.09
    • Berichten: 267
    Geplaatst: 12.04.2006, 13:04
    Ik heb een beetje in m'n apache-log gekeken, en het schijnt dat m'n site behoorlijk in de smaak ligt bij de ettertjes die niets anders te doen hebben dan je site overhoop te helpen

    Code
    61.241.106.69 - - [12/Apr/2006:01:54:06 +0200] "GET //cgi-bin/awstats/awstats.pl HTTP/1.1" 404 302
    61.241.106.69 - - [12/Apr/2006:01:54:07 +0200] "GET //cgi-bin/awstats.pl HTTP/1.1" 404 294
    61.241.106.69 - - [12/Apr/2006:01:54:08 +0200] "GET //cgi/awstats.pl HTTP/1.1" 404 290
    61.241.106.69 - - [12/Apr/2006:01:54:09 +0200] "GET //awstats/awstats.pl HTTP/1.1" 404 294
    61.241.106.69 - - [12/Apr/2006:01:54:10 +0200] "GET //cgi-bin/stats/awstats.pl HTTP/1.1" 404 300
    61.241.106.69 - - [12/Apr/2006:01:54:11 +0200] "GET //stats/awstats.pl HTTP/1.1" 404 292
    61.241.106.69 - - [12/Apr/2006:01:54:12 +0200] "GET //awstats.pl HTTP/1.1" 404 286
    61.241.106.69 - - [12/Apr/2006:01:54:13 +0200] "GET //cgi/stats/awstats.pl HTTP/1.1" 404 296

    En:
    Code
    140.112.137.175 - - [11/Apr/2006:23:23:44 +0200] "GET //chat/messagesL.php3 HTTP/1.1" 404 295
    140.112.137.175 - - [11/Apr/2006:23:23:44 +0200] "GET /chat//chat/messagesL.php3 HTTP/1.1" 404 300
    140.112.137.175 - - [11/Apr/2006:23:23:45 +0200] "GET /phpchat//chat/messagesL.php3 HTTP/1.1" 404 303
    140.112.137.175 - - [11/Apr/2006:23:23:46 +0200] "GET /PhpMyChat//chat/messagesL.php3 HTTP/1.1" 404 305
    140.112.137.175 - - [11/Apr/2006:23:23:46 +0200] "GET /chatroom//chat/messagesL.php3 HTTP/1.1" 404 304
    140.112.137.175 - - [11/Apr/2006:23:23:47 +0200] "GET /chats//chat/messagesL.php3 HTTP/1.1" 404 301
    140.112.137.175 - - [11/Apr/2006:23:23:48 +0200] "GET /forum//chat/messagesL.php3 HTTP/1.1" 404 301
    140.112.137.175 - - [11/Apr/2006:23:23:48 +0200] "GET /php/phpmychat//chat/messagesL.php3 HTTP/1.1" 404 309
    140.112.137.175 - - [11/Apr/2006:23:23:49 +0200] "GET /phpMyChat-0.14.2//chat/messagesL.php3 HTTP/1.1" 404 312
    140.112.137.175 - - [11/Apr/2006:23:23:49 +0200] "GET /phpMyChat-0.14.5//chat/messagesL.php3 HTTP/1.1" 404 312
    140.112.137.175 - - [11/Apr/2006:23:23:50 +0200] "GET /phpMyChat//chat/messagesL.php3 HTTP/1.1" 404 305

    Is er niet een module die dit soort ongein kan afvangen en een ip-ban lijst kan aanmaken ofzo?
    Om nu 1 keer in de week een .htaccess te gaan updaten zie ik ook niet zo zitten.

    NB: Die wijzig knop biedt idd een gewldige uitkomst in sommige gevallen :>
  • Teb
    Teb's Avatar
    Site Admin
    • Rang: Site Admin
    • Geregistreerd: 25.02.03
    • Laatst gezien: 09.03.12
    • Berichten: 1207
    Geplaatst: 12.04.2006, 14:18
    Die ettertjes zijn gewoon scripts die webservers afzoeken naar vulnerable Files om te kijken of ze bestaan. Zo ja, wordt er een injectie uitgevoerd en wordt het resultaat doorgestuurd naar de script-schrijver oid.
    Ofwel, niemand is bewust jouw machine aan het vergallen, het zijn nog maar scripts. Behalve als je kwetsbaar bent, dan gaan ze verder kijken.

    Dit is zelfs de ideale manier om te controleren of je beveiligd bent tegen de bekendere exploits! Maak hier gebruik van!
    Overal waar "GET <knip> HTTP/1.1" 404 staat betekent dat die pagina niet gevonden is. Dus geen zorgen maken, kun je ook niet onveilige files hebben.
    Overal waar "GET <knip> HTTP/1.1" 200 staat betekent dat de pagina wel gevonden is. Dan zoeken op de betreffende forums of je de laatste en veiligste versie hebt van die file (zoek op google maar eens naar "PNphpBB2 includes functions_admin.php phpbb_root_path")
    RaZIs er niet een module die dit soort ongein kan afvangen en een ip-ban lijst kan aanmaken ofzo?
    Heeft ook totaal geen zin, er worden iedere keer andere IP adressen gebruikt. Dan blijf je nutteloos bezig.

    RaZNB: sorry voor de lay-out vernacheling icon_redface
    Hmmmm... beetje veel overbodige info idd. Die knop is handig... icon_lol

    __________
    </knip></knip>
  • RaZ
    RaZ's Avatar
    zPro
    • Rang: zPro
    • Geregistreerd: 18.03.06
    • Laatst gezien: 06.01.09
    • Berichten: 267
    Geplaatst: 12.04.2006, 14:51
    Mr. Teb
    [..]
    RaZIs er niet een module die dit soort ongein kan afvangen en een ip-ban lijst kan aanmaken ofzo?
    Heeft ook totaal geen zin, er worden iedere keer andere IP adressen gebruikt. Dan blijf je nutteloos bezig.

    Daarom juist, als er niet een soort van security module is, die dat dus automatisch doet. Voor PHP-Nuke heb je de Sentinal module die dat regeld. Maar voor PostNuke nog niets kunnen vinden.

    Ik kwam dus op het idee, als je een 404 krijgt, een redirect geeft naar een module, die de URI/REFERER checkt, en dan dus te zien is welk commando er geprobeerd wordt. dan zou die module dus gewoon het IP-adres in de .htaccess als een deny-rule kunnen invoeren. Dus een zelf-regeled systeem zegmaar.

    HINT HINT: als ik op de homepage kijk he, sta jij daar tussen het lijstje met developers 8) HINT HINT icon_lol

    Mr. Teb
    RaZNB: sorry voor de lay-out vernacheling icon_redface
    Hmmmm... beetje veel overbodige info idd. Die knop is handig... icon_lol

    Done that :P
  • Teb
    Teb's Avatar
    Site Admin
    • Rang: Site Admin
    • Geregistreerd: 25.02.03
    • Laatst gezien: 09.03.12
    • Berichten: 1207
    Geplaatst: 12.04.2006, 15:32
    RaZIk kwam dus op het idee, als je een 404 krijgt, een redirect geeft naar een module, die de URI/REFERER checkt, en dan dus te zien is welk commando er geprobeerd wordt. dan zou die module dus gewoon het IP-adres in de .htaccess als een deny-rule kunnen invoeren. Dus een zelf-regeled systeem zegmaar.
    Hoeft niet persé in een module van PostNuke, dat is in apache zelf ook te regelen. Apache-documentatie bij foutenpagina's zou je verder moeten helpen. Een combinatie van httpd.conf (of .htaccess) en een nieuw php script oid.

    De sentinel module (NukeSentinel) zegt mij niets. Misschien dat anderen wel ervaring hebben hiermee.

    RaZHINT HINT: als ik op de homepage kijk he, sta jij daar tussen het lijstje met developers 8) HINT HINT icon_lol
    hehe... dat lijstje is niet gemaakt om custom modules en themes te schrijven voor iedereen die daar om vraagt. Kost tijd, en dus ook geld... HINT HINT

    RaZDone that :P
    \:D/

    __________
  • RaZ
    RaZ's Avatar
    zPro
    • Rang: zPro
    • Geregistreerd: 18.03.06
    • Laatst gezien: 06.01.09
    • Berichten: 267
    Geplaatst: 12.04.2006, 17:15
    Teb
    [..]
    RaZHINT HINT: als ik op de homepage kijk he, sta jij daar tussen het lijstje met developers 8) HINT HINT icon_lol
    hehe... dat lijstje is niet gemaakt om custom modules en themes te schrijven voor iedereen die daar om vraagt. Kost tijd, en dus ook geld... HINT HINT

    Geef eens een indicatie, dan kan ik dat morgen met het UWV opnemen, kijken of die WW omhoog kan tijdelijk 8)

Gebruikers aanwezig

Deze lijst is gebaseerd op gebruikers die de afgelopen 10 minuten online waren

 

Hoofd Menu

Reacties

Taal

Preferred language