nicht angemeldet
Hacker?! Zugriff auf /phpmyadmin/scripts/setup.php
'ǝɯɐu$
Hi,
das fand ich in meinem log, muss ich mir Sorgen machen?
195.71.91.121 - - [24/Jul/2011:20:08:23 +0200] "GET /muieblackcat HTTP/1.1" 404 2969 "-" "-"
195.71.91.121 - - [24/Jul/2011:20:13:44 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 200 11429 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
195.71.91.121 - - [24/Jul/2011:20:13:44 +0200] "POST /phpmyadmin/scripts/setup.php HTTP/1.1" 200 18927 "http://www.meinedomain.example.com/phpmyadmin/scripts/setup.php" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
Wenn ich http://meinedomain.example.com//phpmyadmin/scripts/setup.php aufrufe erscheint folgendes:
Äh, das sollte doch nicht sein, oder?
ssnɹƃ
ʍopɐɥs
--
“Bewahre mich vor der Einbildung, bei jeder Gelegenheit und zu jedem Thema etwas sagen zu müssen. Erhalte mich liebenswert.”
- Teresa von Avila (1515 – 1582) Schutzheilige des SELFHTML-Forums
“Bewahre mich vor der Einbildung, bei jeder Gelegenheit und zu jedem Thema etwas sagen zu müssen. Erhalte mich liebenswert.”
- Teresa von Avila (1515 – 1582) Schutzheilige des SELFHTML-Forums
-
Äh, das sollte doch nicht sein, oder?
Hast du dein phpMyAdmin installiert oder hat dein Hoster eins vorinstalliert? Wenn nicht, hat dir wohl jemand versucht eines unterzujubeln.
-
'ǝɯɐu$ ıɥ
Äh, das sollte doch nicht sein, oder?
Hast du dein phpMyAdmin installiert oder hat dein Hoster eins vorinstalliert?
Ich nehme mal an das war der Horster...
Wenn nicht, hat dir wohl jemand versucht eines unterzujubeln.
Denke ich nicht (und wie hätten die das unbemerkt machen können?), es wurde vorher endlos durchprobiert ob was geht. Zb:
195.71.91.121 - - [24/Jul/2011:20:08:24 +0200] "GET //phpmya/scripts/setup.php HTTP/1.1" 404 2969 "-" "-"
195.71.91.121 - - [24/Jul/2011:20:08:24 +0200] "GET //admin/my/scripts/setup.php HTTP/1.1" 401 2874 "-" "-"ssnɹƃ
ʍopɐɥs--
“Bewahre mich vor der Einbildung, bei jeder Gelegenheit und zu jedem Thema etwas sagen zu müssen. Erhalte mich liebenswert.”
- Teresa von Avila (1515 – 1582) Schutzheilige des SELFHTML-Forums-
Denke ich nicht (und wie hätten die das unbemerkt machen können?), es wurde vorher endlos durchprobiert ob was geht. Zb:
Eben mit dem Ziel nach genau solchen (möglicherweise veralteten) Administrationsdingern zu suchen.
Wenn das zeug von Hoster stammt und vorinstalliert ist, sollte das doch nicht einfach mal öffentlich erreichbar sein sondern entsprechend gesperrt, bis du es explizit freischaltest.
-
'ǝɯɐu$ ıɥ
Denke ich nicht (und wie hätten die das unbemerkt machen können?), es wurde vorher endlos durchprobiert ob was geht. Zb:
Eben mit dem Ziel nach genau solchen (möglicherweise veralteten) Administrationsdingern zu suchen.
Welchen Zweck die Übung hatte ist mir klar, es gibt sogar eine "Suchmaschine" die sone Nummer abzieht - Purebot, habe ich per .htaccess vor die Tür gesetzt (auch alles was mit Wget kommt, auch nur Zugriffe die nicht ganz Koscher sind).
Wenn das zeug von Hoster stammt und vorinstalliert ist, sollte das doch nicht einfach mal öffentlich erreichbar sein sondern entsprechend gesperrt, bis du es explizit freischaltest.
In dieser Illusion wiegte ich mich bisher auch.
Hab mal nachgeschaut, die Zugriffe kamen anscheinend von einem gehacktem Server.
ssnɹƃ
ʍopɐɥs--
“Bewahre mich vor der Einbildung, bei jeder Gelegenheit und zu jedem Thema etwas sagen zu müssen. Erhalte mich liebenswert.”
- Teresa von Avila (1515 – 1582) Schutzheilige des SELFHTML-Forums
-
-
-
-
Hallo,
195.71.91.121 - - [24/Jul/2011:20:08:23 +0200] "GET /muieblackcat HTTP/1.1" 404 2969 "-" "-"
404, also zunächst ungefährlich.
195.71.91.121 - - [24/Jul/2011:20:13:44 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 200 11429 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
Das sollte nicht sein, wieso ist das setup-Skript erreichbar? Daran anschließend ist die Frage von suit.
195.71.91.121 - - [24/Jul/2011:20:13:44 +0200] "POST /phpmyadmin/scripts/setup.php HTTP/1.1" 200 18927 "http://www.meinedomain.example.com/phpmyadmin/scripts/setup.php" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
Könnte ein gescheiterter Loginversuch sein ... nichts genaues weiß man nicht.
Und zu dem Bild: Warum ist da eine Version 2.11 irgendwas installiert? Aktuell ist 3.4.3.2, also schleunigst aktualisieren, wenn es deine Installation ist.
Gibts denn weitere Anzeichen für einen Hack?
Grüße
-
'ǝɯɐu$ ıɥ
195.71.91.121 - - [24/Jul/2011:20:08:23 +0200] "GET /muieblackcat HTTP/1.1" 404 2969 "-" "-"
404, also zunächst ungefährlich.Die über 50 404er beunruhigen mich auch nicht.
195.71.91.121 - - [24/Jul/2011:20:13:44 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 200 11429 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
Das sollte nicht sein, wieso ist das setup-Skript erreichbar?Das frage ich mich auch...
195.71.91.121 - - [24/Jul/2011:20:13:44 +0200] "POST /phpmyadmin/scripts/setup.php HTTP/1.1" 200 18927 "http://www.meinedomain.example.com/phpmyadmin/scripts/setup.php" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
Könnte ein gescheiterter Loginversuch sein ... nichts genaues weiß man nicht.Das macht mich wahnsinnig, ich weiß nicht ob der Versuch (was auch immer zu machen) erfolgreich war. Auf allen Domains bei diesem Hoster sind die Setup Scripte zu erreichen *kotz*.
Und zu dem Bild: Warum ist da eine Version 2.11 irgendwas installiert? Aktuell ist 3.4.3.2, also schleunigst aktualisieren, wenn es deine Installation ist.
Ne, ist nicht meine (https://forum.selfhtml.org/?t=206126&m=1398558)
Gibts denn weitere Anzeichen für einen Hack?
Nein, hab nichts gefunden.
ssnɹƃ
ʍopɐɥs--
“Bewahre mich vor der Einbildung, bei jeder Gelegenheit und zu jedem Thema etwas sagen zu müssen. Erhalte mich liebenswert.”
- Teresa von Avila (1515 – 1582) Schutzheilige des SELFHTML-Forums-
Hallo,
Das sollte nicht sein, wieso ist das setup-Skript erreichbar?
Das frage ich mich auch...Ja hast du denn nun den myadmin installiert oder nicht? Für den Hoster ist das kein Problem. Schließlich hat er Zugriffe auf alle Verzeichnisse.
195.71.91.121 - - [24/Jul/2011:20:13:44 +0200] "POST /phpmyadmin/scripts/setup.php HTTP/1.1" 200 18927 "http://www.meinedomain.example.com/phpmyadmin/scripts/setup.php" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
Könnte ein gescheiterter Loginversuch sein ... nichts genaues weiß man nicht.
Das macht mich wahnsinnig, ich weiß nicht ob der Versuch (was auch immer zu machen) erfolgreich war. Auf allen Domains bei diesem Hoster sind die Setup Scripte zu erreichen *kotz*.Hmm. Diese Skripte zu entfernen wäre eine gute Idee.
Und zu dem Bild: Warum ist da eine Version 2.11 irgendwas installiert? Aktuell ist 3.4.3.2, also schleunigst aktualisieren, wenn es deine Installation ist.
Ne, ist nicht meine (https://forum.selfhtml.org/?t=206126&m=1398558)
Dann den Hosten anschreiben und fragen, was er sich dabei denkt.
Gibts denn weitere Anzeichen für einen Hack?
Nein, hab nichts gefunden.
Na dann :). Skripte absichern und gut ist.
Grüße
-
'ǝɯɐu$ ıɥ
Das sollte nicht sein, wieso ist das setup-Skript erreichbar?
Das frage ich mich auch...
Ja hast du denn nun den myadmin installiert oder nicht? Für den Hoster ist das kein Problem. Schließlich hat er Zugriffe auf alle Verzeichnisse.Ich wars nicht.
Das macht mich wahnsinnig, ich weiß nicht ob der Versuch (was auch immer zu machen) erfolgreich war. Auf allen Domains bei diesem Hoster sind die Setup Scripte zu erreichen *kotz*.
Hmm. Diese Skripte zu entfernen wäre eine gute Idee.
Dann den Hosten anschreiben und fragen, was er sich dabei denkt.Ist in arbeit - eine Domain ist nicht von mir, da nimmt das Schreiben den Umweg über den Besitzer.
Gibts denn weitere Anzeichen für einen Hack?
Nein, hab nichts gefunden.
Na dann :). Skripte absichern und gut ist.Hoffen wir mal das Beste.
ssnɹƃ
ʍopɐɥs--
“Bewahre mich vor der Einbildung, bei jeder Gelegenheit und zu jedem Thema etwas sagen zu müssen. Erhalte mich liebenswert.”
- Teresa von Avila (1515 – 1582) Schutzheilige des SELFHTML-Forums
-
-
-
Hallo,
Und zu dem Bild: Warum ist da eine Version 2.11 irgendwas installiert? Aktuell ist 3.4.3.2, also schleunigst aktualisieren, wenn es deine Installation ist.
vermutlich weil Debian Lenny (derzeit oldstable) installiert ist. Das ist die in Lenny enthaltene phpMyAdmin-Version.
Freundliche Grüße
Vinzenz
-
Hallo,
vermutlich weil Debian Lenny (derzeit oldstable) installiert ist. Das ist die in Lenny enthaltene phpMyAdmin-Version.
Ohh Gott! O.O Warum macht man denn sowas? Ich bin entsetzt.
Grüße
-
vermutlich weil Debian Lenny (derzeit oldstable) installiert ist. Das ist die in Lenny enthaltene phpMyAdmin-Version.
Aptitude ist ja was geiles .... Aber wer sowas wie phpMyAdmin über die Paketverwaltung installiert und nicht per Hand auf dem aktuellen Stand hält, sollte nichtmal ein Smartphone bedienen, geschweige denn Server vermieten.
Ich würde schnellstens den Hoster wechseln, sowas grenzt ja schon an vorsätzlicher verteilung von Hackerwaffen.
-
-