komische URL's. Was hat's auf sich ?

[conny2540]

Hallo,

habe seit einiger Zeit im Shop-Admin - Wer ist Online - einige komische URL's, wie z.B.

shop/product_info.php/info/page.php?set=http://62.129.173.149/img/dog.c?

was soll das ? wenn ich diese URL direkt aufrufe, dann bekomme ich einen SQL-Fehler. Wie kann es sein, das

z.B.

IP 195.141.101.5 und IP 194.79.16.69 so eine URL aufruft, wenn diese eigentlich nicht existieren ?

Jemand eine Ahnung ?

LG

Conny

[John Steed]

Ich tippe mal darauf, dass da jemand versucht, Deinen Shop zu hacken - Stichwort Cross Site Scripting bzw. SQL-Injection...

[SonjaSt]

http://de.wikipedia.org/wiki/Cross-Site_Scripting

http://de.wikipedia.org/wiki/SQL-Injektion

Frage nun:

Wie kann man sich bei xt-c explizit schützen?

Wie geht man vor, wenn der Fall eintritt wie von Conny2540 beschrieben?

[conny2540]

Na super. Nicht nur dass ich mich mit den ungebetenen Spider, Crwaler & co herumschlagen kann, komme ich noch zufällig drauf, dass man xtc angreifen kann.

Ist der Shop gegen solche Attacken geschützt ? Wenn ich diese URL direkt im Browser eingebe (egal ob IE, Opera, Firefox oder Mozilla) lande ich immer bei:

1064 - you have an erro in your SQL syntax.....

Soll das für mich heissen, dass da nichts ausführbares existiert oder kann man trotzdem da irgendetwas ausführen ??

[John Steed]

komme ich noch zufällig drauf, dass man xtc angreifen kann.

Ist der Shop gegen solche Attacken geschützt ?

Prinzipiell ist nahezu *jede* PHP- oder wasauchimmer-Webanwendung irgendwo angreifbar. Ob ein Angreifer dann mit seinem Exploit auch was anfangen kann, ist eine andere Sache... Auch wird es *immer* Leute geben, die versuchen, Webseiten zu hacken.

XTC ist in dieser Beziehung sehr robust (die aktuelle Version 3.04 SP 2.1) und bietet wenig Angriffsfläche - im Gegensatz zum ollen osC, wofür es einige Exploits gibt.

Ich finde auf die Schnelle nur einen harmlosen Exploit, der dem Angreifer sein *eigenes* Kundenkonto lahmlegt (toll!) sowie eine etwas üblere Sicherheitslücke, die aber nur ausgenutzt werden kann, wenn eine unsichere PHP-Konfiguration (keine open_basedir-Restriktion) auf dem Server es auch zulässt und wenn ein XTC *vor* 3.04 SP 2.1 verwendet wird. Werde die Links dazu hier aber nicht posten...

Conny, die URL die du oben angegeben hast, ist Müll - da kann m.E. nichts passieren!

EDIT: Den Hinweis an die Entwickler habe ich rausgenommen, da die aktuelle Version diesen Angriffspunkt nicht mehr hat!

[conny2540]

Prinzipiell ist nahezu *jede* PHP- oder wasauchimmer-Webanwendung irgendwo angreifbar. Ob ein Angreifer dann mit seinem Exploit auch was anfangen kann, ist eine andere Sache... Auch wird es *immer* Leute geben, die versuchen, Webseiten zu hacken.

XTC ist in dieser Beziehung sehr robust (die aktuelle Version 3.04 SP 2.1) und bietet wenig Angriffsfläche - im Gegensatz zum ollen osC, wofür es einige Exploits gibt.

Ich finde auf die Schnelle nur einen harmlosen Exploit, der dem Angreifer sein *eigenes* Kundenkonto lahmlegt (toll!) sowie eine etwas üblere Sicherheitslücke, die aber nur ausgenutzt werden kann, wenn eine unsichere PHP-Konfiguration (keine open_basedir-Restriktion) auf dem Server es auch zulässt. Werde die Links dazu hier aber nicht posten...

An die Entwickler: Bitte mal in der index.php die Verarbeitung/Filterung des template-Parameters überprüfen...

Conny, die URL die du oben angegeben hast, ist Müll - da kann m.E. nichts passieren!

Danke Dir (Ian) john steed, bin ich jetzt aber beruhigt. Wie gesagt plage mich mit Crawler & Co herum, welche in den letzten Tagen meinen Server immer wieder lahmlegen. Mit dem Tipp hier im Forum ich soll die IP's in die .htaccess reinschreiben hat einige Zeit geholfen, aber mittlerweile komme ich mit der Liste nicht mehr nach. Jetzt versuche ich es einmal mit bot-trap und sperre die blackgelisteten IP's automatisch mal raus. Normale Kunden müssen, falls Sie es erwischt eine einfache Rechnen-Aufgabe lösen um den Shop beitreten zu können. Nicht blackgelistete IP's können die Site sowieso ganz normal nutzen und automatische Bots/Crawler die nur böses im Sinne haben, sollen draußen bleiben und meinen Server nicht ständig in die Knie zwingen. Habe heute schon ein gutes Ergebnis damit erzielen können und hoffe es hält an.

Dass man alles hacken kann, wenn man das know-how hat und auch will, ist mir schon klar, nur jetzt brauche ich das nicht auch noch zusätzlich...

Danke für Deine Erfahrungswerte... Und die beruhigende Worte (meine xtc-Vers. 3.0.4. sp 2.1)

LG

Conny

[nrrlh]

Hallo Conny

wo hast du denn den bot-trap Code eingebaut

ich habs mit der Anleitung von bot-trap probiert

die Seite ist aber immer noch ungeschützt

Gruß

Norbert

[conny2540]

Hallo,

wenn Du den Einbau-Link für XTC Shop genommen hast, dann muss es funktionieren. Poste mal die Site per PN oder hier. Ich probiere es selbst mal aus.

Bzw. probiere es mal aus indem Du den FF oder IE schliesst und dann mit winhttprequest es ausprobierst. Auf Anhieb kann es es sein, dass es nicht funktioniert, weil Du noch den cookie von der vorigem Session im Cache hast.

LG

Conny

[nrrlh]

Hallo

ich schätze mal es liegt an meinem installiertem Shopstat

Gruß

Norbert

[conny2540]

Das kann ich Dir nicht beantworten, weil ich den nicht habe, aber mein Provider hat den auch installiert und den bot-trap und bei den funktioniert der ohne Probleme, trotz shop-stat. Ob der was geändert hat, das weiss ich nicht. Schicke mal eine PN an BarebonF (das ist mein Provider), der kennt sich Bestens mit xtc, shop-stat und bot-trap aus. Lass ihn schön grüssen (von Conny).

Der baut Dir das auch ein, wenn Du nicht weiterkommst.

[nrrlh]

Hallo Conny

hat sich erledigt

es lag an der Zugriffsberechtigung

habe sie von 777 auf 755 gesetzt und jetzt geht es

Gruß

Norbert

[conny2540]

Na dann ist es ok.

LG

Conny

[hanskalk]

Hallo,

wie ist eure Erfahrung mit BOT-TRAP?

Geht es nach wie vor gut?

[Vio]

Hallo,

wie ist eure Erfahrung mit BOT-TRAP?

Geht es nach wie vor gut?

Ja...

Grüße

Vio

[conny2540]

Ja das Tool funktioniert ausgezeichnet. Bin nach wie vor begeistert davon.

[hanskalk]

verwende bot-trap inzwischen auch - aber es sind trotzdem noch diese komischen ips 1000x gleichzeit online - was kann dagegen getan werden?

[conny2540]

verwende bot-trap inzwischen auch - aber es sind trotzdem noch diese komischen ips 1000x gleichzeit online - was kann dagegen getan werden?

im bot-trap-forum melden, bzw. dort die Suche bemühen, dann wirst du auch fündig... Das sind code-injections also Hacker oder Hacker-Bots.

LG

Conny

[hanskalk]

ich vermute eher hacker-bots; sonst müssten ja 20 mann vor unserem shop sitzen

[hanskalk]

hab mal ein screenshot gemacht:

http://www.akf-shop.de/gfx/bildschirm2.JPG

ca. 800x die gleiche IP auf der gleichen Seite online

[Vio]

Hallo,

die erste 139.20.161.57 gehört zur TU Freiburg

die zweite 80.128.231.251 zur Telekom

Find ich nicht gerade besorgniserregend.

Grüße

Vio

[hanskalk]

ja aber warum 800 mal online?

[Guest tuvalu]

ja aber warum 800 mal online?

Dann schau halt in die Logfiles und guck was genau die da machen. Und leg Dir stats_keywords_v2.3 zu, dann weißt Du welche Such-Attacken versucht wurden.

My2Cent

tuvalu

[conny2540]

Yaml und ajax-basierende Anwendugnen sind zur Zeit offensichtlich total in für Hacker...

Melde die IP's im Bot-Trap, diese die nicht gesperrt werden können (Telekom) kannst Du mittels .htaccess selbst mal für einige Zeit sperren, bzw. mit dem Auszug Deiner Logs am Server einen Abuse bei der Telekom melden. Im Regelfall reagiert die Telekom auch drauf... Aber wie gesagt. Das alles gehört ins Bot-Trap-Forum, weil der nix mit xtc zu tun hat.

LG

Conny