log datei überschwemmt

#0
04.05.2008, 13:47
Member

Beiträge: 20
#1 seit gestern haben wir in unseren logs merkwürdige eintragungen.
z.b.

ip aus dt.

Code

- - [04/May/2008:03:52:49 +0200] "GET /tinc?key=http%3A%2F%2Fwww.thoseguysfilms.com%2Fforums%2Ftemplates%2FsubSilver%2Fimages%2Ftimuji%2Fogu%2F HTTP/1.0" 451 812 www.unsere site.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" "-"
in zusammenhang mit unserem kunden kontaktformular befürchten wir nun evtl. das ausspähen von daten.

das kontaktformular liegt auf einem server von 1und1.
der key für das formular führt zwar mit dem oben angegebenen eintrag ins leere ober die seite insbesondere das forum dort ist kompomitiert.

frage: die logs werden überschwemmt von diesen eintragungen.

was steckt dahinter?
Seitenanfang Seitenende
04.05.2008, 14:04
Moderator

Beiträge: 7786
#2 Hat es vieleicht etwas damit zu tun?
http://www.joomlaportal.de/sicherheit/123721-waren-hier-hacker-am-werk.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.05.2008, 14:17
Member

Themenstarter

Beiträge: 20
#3

Zitat

raman postete
Hat es vieleicht etwas damit zu tun?
http://www.joomlaportal.de/sicherheit/123721-waren-hier-hacker-am-werk.html
wir haben aber kein joomla etc..

nur normales html und eben dieses kontaktformular.

wie kann man die entsprechenden einträge sperren?
die log-statistikauswertung ist jetzt fast nicht mehr möglich.

des weiteren ändern sich die domainnamen immer.

jetzt z.b.

Code

- -  "GET /tinc?key=http%3A%2F%2Fhonamfishing.co.kr%2Fphpmysqladmin%2Flibraries%2Fnov%2Fwulosu%2F HTTP/1.0" 451 812 www..de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" "-"
- - [04/May/2008:03:52:49 +0200] "GET /tinc?key=http%3A%2F%2Fhonamfishing.co.kr%2Fphpmysqladmin%2Flibraries%2Fnov%2Fwulosu%2F HTTP/1.0" 451 812 www..de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" "-"
- - [04/May/2008:03:52:49 +0200] "GET /tinc?key=http%3A%2F%2Fwww.thoseguysfilms.com%2Fforums%2Ftemplates%2FsubSilver%2Fimages%2Ftimuji%2Fogu%2F HTTP/1.0" 451 812 www de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" "-"
ist dann ein sperren überhaupt möglich?
Seitenanfang Seitenende
05.05.2008, 10:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,
aus dem Script kann man folgende Domains entnehmen: (welche ist eure?)

http://www.thoseguysfilms.com/
http://www.unseresite.de/

das habe ich zu dem Eintrag gefunden:
Fhonamfishing.co.kr/
http://www.sitepoint.com/forums/showthread.php?t=529119

In der tat werden zur Zeit über Java Seiten "gehackt" - ich weiss jedoch nicht, ob ews sich in diesem Fall um die gleiche "Technik" handelt....
http://board.protecus.de/t33437.htm

das beste ist, alles vom Server löschen zu lassen und ein neues Kontaktformular hochzuladen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: