Hallo, Gast! (Registrieren)

Letzte Ankündigung: Sicherheitsupdate: MyBB 1.8.32 veröffentlicht (19.11.22)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Seltsame Zugriffe im access.log
#1
Ich weiß nicht, ob ich damit im richtigen Bereich bin, Stefan, verschiebe es sonst bitte, vielen Dank

Da ich heute übermäßig viele Gäste hatte, hab ich mal wieder ins access_log geschaut, bzw. ins access_ssl_log

vorher hatte ich schon in der sessions-Tabelle nach Usern mit uid=0 gesucht, die sehr viele Aufrufe haben und hatte dann zwei Kandidaten, die mich interessierten

im Log fand ich dann z.B. dieses:

Code:
misc.php?action=whoposted&tid=%28SELECT%20%28CASE%20WHEN%20%285495%3D7939%29%20THEN%205495%20ELSE%205495%2A%28SELECT%205495%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%29%20END%29%29&my_post_key=f49ba82d20610e9ffb2bb5aefb348953

oder dieses:
Code:
/misc.php?action=whoposted&tid=6725%29%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL--%20OkfN&my_post_key=f49ba82d20610e9ffb2bb5aefb348953

hat einer der Server-Profis dazu etwas zu sagen?
schönen Gruß
bv64 / Lu

kein Support per PN, Mail, Messenger etc.
still alive - aus gesundheitlichen Gründen aktuell nur sehr sporadisch aktiv
Zitieren
#2
Jeder kann jede URL auf deine Domain absetzen und Parameter anhängen, wie er lustig ist - auch Bots. Und das scheint hier der Fall zu sein.
In diesem Beispiel sind es Versuche, eine SQL-Injection auszuprobieren.

Keine Sorge - Diese Versuche sind harmlos.
Du kannst nichts dagegen tun, um es zu verhindern.
Gewöhne dich einfach daran, dass Hacker, Bots, Crawler oder Script-Kiddies im Dauertakt alle möglichen Rotz-URL's auf deine Addresse ausprobieren.
Willkommen im Internet Wink

Du könntest IPs herausfinden und diese blockieren - doch die Aktualisierung und Pflege sind den Aufwand einfach nicht wert.

[ETS]
MyBB-Forum + innovatives Theme
Live Escape Game Forum
Erste Deutsche und Internationale Community und Diskussionsplattform für Live Escape und Adventure Games.
Unlösbares Problem? -> das Nötel
Zitieren
#3
Hi Exitus,

danke, ja ich weiß, was das ist, ich frage mich nur, ist denen eventuell etwas bekannt, was uns nicht bekannt ist, denn die "Angriffe" erfolgen alle über die misc.php
IP-Sperren oder Sperren über den Useragent bei nervigen Bots, die meinen in Legionsstärke einfallen zu müssen, richte ich schon seit Jahren immer ein. Wobei IPs in den Zeiten von VPN eher irrelevant sind.

Danke für dein Willkommen, ich bin schon etwas länger im Netz dabei und habe mich früher auch mal sehr intensiv mit dieser Problematik befasst Wink Aber das ist schon ein paar Jahre her und das Wissen verflacht, bzw. wird nicht up-to-date gehalten Wink
Besonders schön finde ich es ja immer, wenn Wordpress-Angriffe auf ein MyBB durch geführt werden Wink

Sorgen mache ich mir deswegen eher nicht, ich weiß, dass diese Aufrufe ins Leere laufen (ausprobiert was passiert denn da?), aber die Häufigkeit, mit der ich das in der letzten Woche verfolge, macht mich stutzig. Das war nämlich nicht nur gestern, sondern alle 2 Tage im Grunde diese misc.php mit viel Schrott hinten dran. Das hatte ich früher nicht!
schönen Gruß
bv64 / Lu

kein Support per PN, Mail, Messenger etc.
still alive - aus gesundheitlichen Gründen aktuell nur sehr sporadisch aktiv
Zitieren
#4
Wir wissen, dass du schon länger dabei bist und mit dieser Art von Sch... vertraut bist Wink
(19.10.2022, 07:25)bv64 schrieb: [...]ich frage mich nur, ist denen eventuell etwas bekannt, was uns nicht bekannt ist, denn die "Angriffe" erfolgen alle über die misc.php
Keinesfalls.
Wenn SQL-Strings an eine Variable angehangen werden, die nur einen Zahlenwert akzeptiert, dann kann man nur von stümperhaften Glückstreffer-Versuchen ausgehen, die ihr Ziel verfehlen und womöglich garnicht auf MyBB konzentriert sind.

Es ist schade um den unnötigen Verbrauch an Bandbreite und Resourcen, den "dieses Zeug" verursacht. Bei namentlichen Bekanntwerden, gäbe es nur eine Antwort: Finger ab! Ohne Finger, keine Tastatur. Kein Scherz! Leider findet man nur Bots, keiene Tastaturkrieger.
Wer schon lange genug dabei ist und Ethik noch für lohnenswert hält, lernt diese harte Antwort zu schätzen. *

Ich wette... wenn Du deine Webserver-Logs weiter durchforschst, wirst du sogar noch weitaus intelligentere URLs finden.
Es gibt sogar gezielte MyBB-Angriffe. Die werden jedoch relativ schnell gefunden und behoben. Das ist der Vorteil an einer relativ großen MyBB-Open-Source-Community.

Leider muss man immer Zusatz-Resourcen für unnötigen, derartigen Internet-Dreck mit einplanen. Zudem manipuliert es fast jede Statistik.

[ETS]

* qed (sh!t sc!ence)
MyBB-Forum + innovatives Theme
Live Escape Game Forum
Erste Deutsche und Internationale Community und Diskussionsplattform für Live Escape und Adventure Games.
Unlösbares Problem? -> das Nötel
Zitieren
#5
du hast ja Recht, Exitus, man muss damit leben, aber ich bin ein Jäger Big Grin
Finger abhacken, yep, bin ich mit dabei, mit der Axt, zack!

Stimmt, die Besucherstatistik kann man damit knicken, die stand mal über 11.000 bei uns; das wäre toll für die Band, aber eben nur hirnlose Bots Wink

Ja, die letzte Attacke war eindeutig Script, die Zugriffe kamen so schnell, ca. 1200 in knapp 2 Minuten, das schafft keiner mehr in die Tastatur zu hacken Wink Nicht mal Murray Bozinsky Big Grin
schönen Gruß
bv64 / Lu

kein Support per PN, Mail, Messenger etc.
still alive - aus gesundheitlichen Gründen aktuell nur sehr sporadisch aktiv
Zitieren