Beiträge: 1.761
Themen: 22
Registriert seit: 18.02.2017
MyBB-Version: 1.8.*
Ich weiß nicht, ob ich damit im richtigen Bereich bin, Stefan, verschiebe es sonst bitte, vielen Dank
Da ich heute übermäßig viele Gäste hatte, hab ich mal wieder ins access_log geschaut, bzw. ins access_ssl_log
vorher hatte ich schon in der sessions-Tabelle nach Usern mit uid=0 gesucht, die sehr viele Aufrufe haben und hatte dann zwei Kandidaten, die mich interessierten
im Log fand ich dann z.B. dieses:
Code: misc.php?action=whoposted&tid=%28SELECT%20%28CASE%20WHEN%20%285495%3D7939%29%20THEN%205495%20ELSE%205495%2A%28SELECT%205495%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%29%20END%29%29&my_post_key=f49ba82d20610e9ffb2bb5aefb348953
oder dieses:
Code: /misc.php?action=whoposted&tid=6725%29%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL--%20OkfN&my_post_key=f49ba82d20610e9ffb2bb5aefb348953
hat einer der Server-Profis dazu etwas zu sagen?
Beiträge: 837
Themen: 8
Registriert seit: 08.02.2016
MyBB-Version: 1.8.38
Jeder kann jede URL auf deine Domain absetzen und Parameter anhängen, wie er lustig ist - auch Bots. Und das scheint hier der Fall zu sein.
In diesem Beispiel sind es Versuche, eine SQL-Injection auszuprobieren.
Keine Sorge - Diese Versuche sind harmlos.
Du kannst nichts dagegen tun, um es zu verhindern.
Gewöhne dich einfach daran, dass Hacker, Bots, Crawler oder Script-Kiddies im Dauertakt alle möglichen Rotz-URL's auf deine Addresse ausprobieren.
Willkommen im Internet
Du könntest IPs herausfinden und diese blockieren - doch die Aktualisierung und Pflege sind den Aufwand einfach nicht wert.
[ETS]
Beiträge: 1.761
Themen: 22
Registriert seit: 18.02.2017
MyBB-Version: 1.8.*
Hi Exitus,
danke, ja ich weiß, was das ist, ich frage mich nur, ist denen eventuell etwas bekannt, was uns nicht bekannt ist, denn die "Angriffe" erfolgen alle über die misc.php
IP-Sperren oder Sperren über den Useragent bei nervigen Bots, die meinen in Legionsstärke einfallen zu müssen, richte ich schon seit Jahren immer ein. Wobei IPs in den Zeiten von VPN eher irrelevant sind.
Danke für dein Willkommen, ich bin schon etwas länger im Netz dabei und habe mich früher auch mal sehr intensiv mit dieser Problematik befasst Aber das ist schon ein paar Jahre her und das Wissen verflacht, bzw. wird nicht up-to-date gehalten
Besonders schön finde ich es ja immer, wenn Wordpress-Angriffe auf ein MyBB durch geführt werden
Sorgen mache ich mir deswegen eher nicht, ich weiß, dass diese Aufrufe ins Leere laufen (ausprobiert was passiert denn da?), aber die Häufigkeit, mit der ich das in der letzten Woche verfolge, macht mich stutzig. Das war nämlich nicht nur gestern, sondern alle 2 Tage im Grunde diese misc.php mit viel Schrott hinten dran. Das hatte ich früher nicht!
Beiträge: 837
Themen: 8
Registriert seit: 08.02.2016
MyBB-Version: 1.8.38
Wir wissen, dass du schon länger dabei bist und mit dieser Art von Sch... vertraut bist
(19.10.2022, 07:25)bv64 schrieb: [...]ich frage mich nur, ist denen eventuell etwas bekannt, was uns nicht bekannt ist, denn die "Angriffe" erfolgen alle über die misc.php Keinesfalls.
Wenn SQL-Strings an eine Variable angehangen werden, die nur einen Zahlenwert akzeptiert, dann kann man nur von stümperhaften Glückstreffer-Versuchen ausgehen, die ihr Ziel verfehlen und womöglich garnicht auf MyBB konzentriert sind.
Es ist schade um den unnötigen Verbrauch an Bandbreite und Resourcen, den "dieses Zeug" verursacht. Bei namentlichen Bekanntwerden, gäbe es nur eine Antwort: Finger ab! Ohne Finger, keine Tastatur. Kein Scherz! Leider findet man nur Bots, keiene Tastaturkrieger.
Wer schon lange genug dabei ist und Ethik noch für lohnenswert hält, lernt diese harte Antwort zu schätzen. *
Ich wette... wenn Du deine Webserver-Logs weiter durchforschst, wirst du sogar noch weitaus intelligentere URLs finden.
Es gibt sogar gezielte MyBB-Angriffe. Die werden jedoch relativ schnell gefunden und behoben. Das ist der Vorteil an einer relativ großen MyBB-Open-Source-Community.
Leider muss man immer Zusatz-Resourcen für unnötigen, derartigen Internet-Dreck mit einplanen. Zudem manipuliert es fast jede Statistik.
[ETS]
* qed (sh!t sc!ence)
Beiträge: 1.761
Themen: 22
Registriert seit: 18.02.2017
MyBB-Version: 1.8.*
du hast ja Recht, Exitus, man muss damit leben, aber ich bin ein Jäger
Finger abhacken, yep, bin ich mit dabei, mit der Axt, zack!
Stimmt, die Besucherstatistik kann man damit knicken, die stand mal über 11.000 bei uns; das wäre toll für die Band, aber eben nur hirnlose Bots
Ja, die letzte Attacke war eindeutig Script, die Zugriffe kamen so schnell, ca. 1200 in knapp 2 Minuten, das schafft keiner mehr in die Tastatur zu hacken Nicht mal Murray Bozinsky
|