Hallo Daniela,

Vielen Dank schon mal für Deine Antwort.

Hat jemand ähnliches schon mal mitgemacht oder davon gehört?
Wenn nicht, schaut mal alle eure Logfiles durch! ;)

Security-Scanner machen so etwas. Sie scannen nach bekannten Lücken bei den Standarddiensten. Afair ist zb. Nessus so ein Teil (danach wird auch gescannt).

Aber welches Tool geht _so_ vor. Anscheinend wurde das Ding ja auch erst kürzlich zusammengestrickt, da glaube ich wirklich alle Bugs, die letztens so durch Bugtraq liefen, getestet wurden. Was mich aber am brennendsten interressiert ist, wer ein solches Tool so gezielt einsetzt. Habe ich mit weiteren Scans der anderen auf dem Server gehosteten Domains zu rechnen? Hat ein solcher Scan nicht sogar strafrechtliche Relevanz? Und kann man in Polen den Täter anhand der Logs Dingfest machen, d.h. lohnt sich eine Strafanzeige überhaupt? Die IP lässt sich ja eindeutig zuordnen, und ein Proxy hängt da wohl auch nicht dran.

Das Log sieht so aus als hätte der Angriff Erfolg haben können und evtl auch gehabt. Da scheint unter anderem auch ein SQL-Inject gelaufen zu sein. Es gibt zwar entsprechende Fehlermeldungen aber die deuten darauf hin, dass du Glück gehabt hast. Du scheinst in einem PHP-Script die Werte von den Query-Parametern nicht sauber mit Escape-Zeichen für gefährliche Eingaben wie ' zu versehen.

Ich habe den SQL-Inject mal rekonstruiert. Es wurde dabei versucht in die Passwortabfrage der Webadministrationsoberfläche für die Kunden einfach ein ' als Username einzugeben. Das führte bei den anschließenden Abfragen des zugehörigen Passwortes aus der MySQL-Datenbank zu einem Fehler, da die PHP-Userauthentikations-Variable ungeprüft verwendet wird. Und tatsächlich konnte ich mit einer entsprechend abgeänderten SQL-Injektion den User "überspringen" und benötigte nur noch das richtige Passwort. Aber ohne Passwort ist glücklicherweise keine Authentikation möglich. Das werde ich aber trotzdem mal patchen, bis ich ein Update einspielen kann. :)

Gruß Alex