Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 3 Gast/Gäste
Baumstrukturmodus
Seltsame Zugriffe im access.log
bv64 Offline
Ewig Lernender
*****
Beiträge: 1.736
Themen: 22
Registriert seit: 18.02.2017
MyBB-Version: 1.8.*
#1
18.10.2022, 18:20
Ich weiß nicht, ob ich damit im richtigen Bereich bin, Stefan, verschiebe es sonst bitte, vielen Dank
Da ich heute übermäßig viele Gäste hatte, hab ich mal wieder ins access_log geschaut, bzw. ins access_ssl_log

vorher hatte ich schon in der sessions-Tabelle nach Usern mit uid=0 gesucht, die sehr viele Aufrufe haben und hatte dann zwei Kandidaten, die mich interessierten

im Log fand ich dann z.B. dieses:

Code:
misc.php?action=whoposted&tid=%28SELECT%20%28CASE%20WHEN%20%285495%3D7939%29%20THEN%205495%20ELSE%205495%2A%28SELECT%205495%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%29%20END%29%29&my_post_key=f49ba82d20610e9ffb2bb5aefb348953

oder dieses:
Code:
/misc.php?action=whoposted&tid=6725%29%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL--%20OkfN&my_post_key=f49ba82d20610e9ffb2bb5aefb348953

hat einer der Server-Profis dazu etwas zu sagen?
Suchen
Zitieren
[ExiTuS] Offline
wernicke.me
*****
Beiträge: 837
Themen: 8
Registriert seit: 08.02.2016
MyBB-Version: 1.8.38
#2
19.10.2022, 02:15
Jeder kann jede URL auf deine Domain absetzen und Parameter anhängen, wie er lustig ist - auch Bots. Und das scheint hier der Fall zu sein.
In diesem Beispiel sind es Versuche, eine SQL-Injection auszuprobieren.

Keine Sorge - Diese Versuche sind harmlos.
Du kannst nichts dagegen tun, um es zu verhindern.
Gewöhne dich einfach daran, dass Hacker, Bots, Crawler oder Script-Kiddies im Dauertakt alle möglichen Rotz-URL's auf deine Addresse ausprobieren.
Willkommen im Internet Wink

Du könntest IPs herausfinden und diese blockieren - doch die Aktualisierung und Pflege sind den Aufwand einfach nicht wert.

[ETS]
MyBB + innovative Themes:
NokiaPort.de Forum Nokia-Traditionsforum seit 2006.
Live Escape Game Forum Diskussionsplattform für Escape-Rooms.
Unlösbares Problem, Dilemma? -> das Nötel Smile
Homepage Suchen
Zitieren
bv64 Offline
Ewig Lernender
*****
Beiträge: 1.736
Themen: 22
Registriert seit: 18.02.2017
MyBB-Version: 1.8.*
#3
19.10.2022, 07:25
Hi Exitus,

danke, ja ich weiß, was das ist, ich frage mich nur, ist denen eventuell etwas bekannt, was uns nicht bekannt ist, denn die "Angriffe" erfolgen alle über die misc.php
IP-Sperren oder Sperren über den Useragent bei nervigen Bots, die meinen in Legionsstärke einfallen zu müssen, richte ich schon seit Jahren immer ein. Wobei IPs in den Zeiten von VPN eher irrelevant sind.

Danke für dein Willkommen, ich bin schon etwas länger im Netz dabei und habe mich früher auch mal sehr intensiv mit dieser Problematik befasst Wink Aber das ist schon ein paar Jahre her und das Wissen verflacht, bzw. wird nicht up-to-date gehalten Wink
Besonders schön finde ich es ja immer, wenn Wordpress-Angriffe auf ein MyBB durch geführt werden Wink

Sorgen mache ich mir deswegen eher nicht, ich weiß, dass diese Aufrufe ins Leere laufen (ausprobiert was passiert denn da?), aber die Häufigkeit, mit der ich das in der letzten Woche verfolge, macht mich stutzig. Das war nämlich nicht nur gestern, sondern alle 2 Tage im Grunde diese misc.php mit viel Schrott hinten dran. Das hatte ich früher nicht!
Suchen
Zitieren
[ExiTuS] Offline
wernicke.me
*****
Beiträge: 837
Themen: 8
Registriert seit: 08.02.2016
MyBB-Version: 1.8.38
#4
20.10.2022, 00:03
Wir wissen, dass du schon länger dabei bist und mit dieser Art von Sch... vertraut bist Wink
(19.10.2022, 07:25)bv64 schrieb: [...]ich frage mich nur, ist denen eventuell etwas bekannt, was uns nicht bekannt ist, denn die "Angriffe" erfolgen alle über die misc.php
Keinesfalls.
Wenn SQL-Strings an eine Variable angehangen werden, die nur einen Zahlenwert akzeptiert, dann kann man nur von stümperhaften Glückstreffer-Versuchen ausgehen, die ihr Ziel verfehlen und womöglich garnicht auf MyBB konzentriert sind.

Es ist schade um den unnötigen Verbrauch an Bandbreite und Resourcen, den "dieses Zeug" verursacht. Bei namentlichen Bekanntwerden, gäbe es nur eine Antwort: Finger ab! Ohne Finger, keine Tastatur. Kein Scherz! Leider findet man nur Bots, keiene Tastaturkrieger.
Wer schon lange genug dabei ist und Ethik noch für lohnenswert hält, lernt diese harte Antwort zu schätzen. *

Ich wette... wenn Du deine Webserver-Logs weiter durchforschst, wirst du sogar noch weitaus intelligentere URLs finden.
Es gibt sogar gezielte MyBB-Angriffe. Die werden jedoch relativ schnell gefunden und behoben. Das ist der Vorteil an einer relativ großen MyBB-Open-Source-Community.

Leider muss man immer Zusatz-Resourcen für unnötigen, derartigen Internet-Dreck mit einplanen. Zudem manipuliert es fast jede Statistik.

[ETS]

* qed (sh!t sc!ence)
MyBB + innovative Themes:
NokiaPort.de Forum Nokia-Traditionsforum seit 2006.
Live Escape Game Forum Diskussionsplattform für Escape-Rooms.
Unlösbares Problem, Dilemma? -> das Nötel Smile
Homepage Suchen
Zitieren
bv64 Offline
Ewig Lernender
*****
Beiträge: 1.736
Themen: 22
Registriert seit: 18.02.2017
MyBB-Version: 1.8.*
#5
20.10.2022, 07:18
du hast ja Recht, Exitus, man muss damit leben, aber ich bin ein Jäger Big Grin
Finger abhacken, yep, bin ich mit dabei, mit der Axt, zack!

Stimmt, die Besucherstatistik kann man damit knicken, die stand mal über 11.000 bei uns; das wäre toll für die Band, aber eben nur hirnlose Bots Wink

Ja, die letzte Attacke war eindeutig Script, die Zugriffe kamen so schnell, ca. 1200 in knapp 2 Minuten, das schafft keiner mehr in die Tastatur zu hacken Wink Nicht mal Murray Bozinsky Big Grin
Suchen
Zitieren




Foren-Team | Kontakt | MyBB.de | Nach oben | Archiv-Modus | Alle Foren als gelesen markieren | RSS-Synchronisation | Zur mobilen Ansicht