Einbruchsversuch am Abend
Mitunter ist es lehrreich, die logfiles zu lesen. Folgendes fand ich heute dort vor:
213.109.82.174 - - [27/Dec/2012:20:51:14 +0100] "GET /administrator/components/com_jce/jce.xml HTTP/1.1" 404 2698 www.djzaungast.de "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6 ; nl; rv:1.9) Gecko/2008051206 Firefox/3.0" "-"
Nach einigen Klicks bei Guggl & Co. ergab sich folgendes Bild:
>> Sicherheitslücke im JCE Editor (Joomla!)
>> Joomla-Seiten als Malware-Schleudern missbraucht (heise security)
213.109.82.174 - - [27/Dec/2012:20:51:14 +0100] "GET /administrator/components/com_jce/jce.xml HTTP/1.1" 404 2698 www.djzaungast.de "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6 ; nl; rv:1.9) Gecko/2008051206 Firefox/3.0" "-"
Nach einigen Klicks bei Guggl & Co. ergab sich folgendes Bild:
- Es handelt sich mitnichten um einen Tippfehler des Herrn oder der Dame oder des bots, der sich hinter der ukrainischen ip versteckt, sondern um einen Hacking-Versuch.
- Bei jce.xml handelt es sich um den Content Editor von Joomla!
- In diesem Editor klafft eine Sicherheitslücke.
- Diese Sicherheitslücke ermöglicht es, mit Joomla! erstellte Seiten so zu manipulieren, dass Besucher und Besucherin sich dort mit Malware infizieren.
- In diesem speziellen Fall geht es laut einem Artikel auf heise security darum, über sogenannte Traffic Distribution Systems, die Web-Traffic an- und verkaufen, und vorgebliche Antiviren-Software, die den Anwender zum Kauf einer Pro-Version drängelt, (...) die gekaperten Server in klingende Münze um[zu]setzen."
>> Sicherheitslücke im JCE Editor (Joomla!)
>> Joomla-Seiten als Malware-Schleudern missbraucht (heise security)
zwitscherbirdie - 28. Dez, 15:09
