Einbruchsversuch am Abend (update)
Heute abend fand ich in meinen logfiles dies:
123.236.196.65 - - [28/Dec/2012:18:20:55 +0100] "GET /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.1" 300 493 www.djzaungast.de "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6 ; nl; rv:1.9) Gecko/2008051206 Firefox/3.0" "-"
Guggldiklick ergibt folgende Erkenntnisse:
>> Massenhacks über NoNumber Framework (joomlaportal de)
>> NoNumber Framework Joomla! Plugin Multiple Vulnerabilities (Exploit)
>> Joomla!-Exploits 2006-2009 (139 Seiten)
>> Definition / Funktionsweise eines Exploits (Gabler Wirtschaftslexikon - sehr verständlich)
123.236.196.65 - - [28/Dec/2012:18:20:55 +0100] "GET /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.1" 300 493 www.djzaungast.de "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6 ; nl; rv:1.9) Gecko/2008051206 Firefox/3.0" "-"
Guggldiklick ergibt folgende Erkenntnisse:
- Diesmal ist die Maske eine ip aus Indien.
- Es geht ebenfalls um die Ausnutzung von Sicherheitslücken in Joomla!, genauer um das nnframework plugin der Joomla!-Erweiterungen (siehe NoNumber - Joomla! Extensions).
- Diesmal geht es darum, via cURL (ausführbare) Inhalte auf der betroffenen Seite zu deponieren (das ist das, was in meinem Fall versucht wurde).
- Es ist auf diesem Weg auch möglich, eine shell hochzuladen und auf diese Weise Zugang zur Seite zu erhalten.
>> Massenhacks über NoNumber Framework (joomlaportal de)
>> NoNumber Framework Joomla! Plugin Multiple Vulnerabilities (Exploit)
>> Joomla!-Exploits 2006-2009 (139 Seiten)
>> Definition / Funktionsweise eines Exploits (Gabler Wirtschaftslexikon - sehr verständlich)
zwitscherbirdie - 28. Dez, 23:54
