Willkommen Gast. Bitte anmelden oder registrieren.

Autor Thema: Brandgefährlicher Bot unterwegs  (Gelesen 10836 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Joomla-Hilfe

  • Oberwetterfrosch (Mod)
  • Beiträge: 155
Brandgefährlicher Bot unterwegs
« am: 02. März 2012, 10:53:43 »
Beim Sichten der Logfiles bin ich auf einen Bot gestoßen, der für Joomla-Seiten brandgefährlich werden kann. Er prüft gefundene Seiten auf alle erdenklichen installierten Erweiterungen ab und ignoriert dabei die robots.txt (kleiner Auszug, vollständige Auflistung der getesteten Erweiterungen folgt im nächsten Beitrag):
www.domain.tld 66.103.62.11 - - [01/Mar/2012:09:31:20 +0100] "GET /robots.txt HTTP/1.0" 200 1727 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
www.domain.tld 66.103.62.11 - - [01/Mar/2012:09:31:24 +0100] "GET /?tp=1 HTTP/1.0" 200 25969 "http://verticalpigeon.com/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
www.domain.tld 66.103.62.11 - - [01/Mar/2012:09:31:24 +0100] "GET /joomla.xml HTTP/1.0" 404 1637 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
www.domain.tld 66.103.62.11 - - [01/Mar/2012:09:31:28 +0100] "GET /templates/bluestork/templateDetails.xml HTTP/1.0" 200 2790 "http://verticalpigeon.com/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
www.domain.tld 66.103.62.11 - - [01/Mar/2012:09:31:31 +0100] "GET /index.php?option=com_content&view=category&format=feed&tmpl=component&limitstart=0 HTTP/1.0" 200 5499 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
www.domain.tld 66.103.62.11 - - [01/Mar/2012:09:31:33 +0100] "GET /index.php?option=com_contact&view=category&format=feed&type=rss&limit=1024&tmpl=component HTTP/1.0" 200 1065 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
www.domain.tld 66.103.62.11 - - [01/Mar/2012:09:31:34 +0100] "GET /index2.php?option=com_contact HTTP/1.0" 500 1670 "http://verticalpigeon.com/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
www.domain.tld 66.103.62.11 - - [01/Mar/2012:09:31:34 +0100] "GET /index.php?option=com_qdhljfqngxzlhmhl HTTP/1.0" 404 1586 "http://verticalpigeon.com/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
Er tut zwar auf den ersten Blick so, als würde er sich wie ein korrekter Bot benehmen, indem er die robots.txt liest, ignoriert dann aber ihren Inhalt und greift gnadenlos auf /administrator, /plugins und /templates zu, obwohl das allen Bots ganz klar verboten ist:
User-agent: *
Disallow: /administrator/
Disallow: /plugins/
Disallow: /templates/
Selbst wenn der Dienstanbieter keine bösen Absichten mit diesen gewonnenen Daten haben sollte, lecken sich sämtliche Hacker die Finger danach, so bequem an Informationen über potentielle Lücken zu kommen. Deshalb empfiehlt es sich unbedingt, dem Bot generell den Zugriff auf jede Joomla-Seite zu verweigern, indem die .htaccess um ein paar Zeilen erweitert wird:
Order Deny,Allow
Deny from 66.103.62.11
« Letzte Änderung: 02. März 2012, 11:02:52 von Joomla-Hilfe »
Dietmar

Die Realität ist eine Halluzination, die durch akuten Alkoholmangel hervorgerufen wird.

Joomla-Hilfe

  • Oberwetterfrosch (Mod)
  • Beiträge: 155
Brandgefährlicher Bot unterwegs Teil 2
« Antwort #1 am: 02. März 2012, 11:09:26 »
Alle aufgerufenen URLs:
/robots.txt
/?tp=1
/joomla.xml
/templates/bluestork/templateDetails.xml
/index.php?option=com_content&view=category&format=feed&tmpl=component&limitstart=0
/index.php?option=com_contact&view=category&format=feed&type=rss&limit=1024&tmpl=component
/index2.php?option=com_contact
/index.php?option=com_qdhljfqngxzlhmhl
/index.php?option=com_jce
/plugins/editors/jce.xml
/administrator/components/com_jce/jce.xml
/index.php?option=com_virtuemart&vmcchk=1
/index.php?option=com_xmap
/index.php?option=com_sh404sef
/index.php?option=com_tienda
/index.php?option=com_gantry
/index.php?option=com_joomfish
/index.php?option=com_fabrik
/index.php?option=com_forme
/index.php?option=com_akeeba
/index.php?option=com_docman
/index.php?option=com_eventlist
/administrator/components/com_eventlist/eventlist.xml
/index.php?option=com_kunena
/index.php?option=com_flexicontent
/index.php?option=com_sm2emailmarketing
/index.php?option=com_letterman
/index.php?option=com_comprofiler
/index.php?option=com_jobline
/index.php?option=com_dfcontact
/index.php?option=com_chronocontact
/index.php?option=com_joomlawatch
/index.php?option=com_k2&view=html
/index.php?option=com_fpss&task=getimages
/index.php?option=com_zoo
/index.php?option=com_securityimages&task=displaycaptcha
/index.php?option=com_apoll
/index.php?option=com_jcomments
/index.php?option=com_seyret
/index.php?option=com_joomailermailchimpintegration
/index.php?option=com_rokcandy
/index.php?option=com_qcontacts
/index.php?option=com_phocagallery
/index.php?option=com_aicontactsafe
/index.php?option=com_contact_enhanced
/index.php?option=com_nspro
/index.php?option=com_jumi
/index.php?option=com_sobi2
/index.php?option=com_oziogallery2
/index.php?option=com_jdownloads
/index.php?option=com_breezingforms
/index.php?option=com_extplorer
/index.php?option=com_jfusion
/index.php?option=com_redshop
/index.php?option=com_sef
/index.php?option=com_panoramic
/index.php?option=com_team
/index.php?option=com_philaform
/index.php?option=com_mosmedia
/index.php?option=com_clasifier
/index.php?option=com_rsgallery
/index.php?option=com_matrimony
/index.php?option=com_smf
/index.php?option=com_pcchess
/index.php?option=com_agora
/index.php?option=com_thopper
/index.php?option=com_bsadv
/index.php?option=com_jombib
/index.php?option=com_hello
/index.php?option=com_dshop
/index.php?option=com_swmenupro
/index.php?option=com_loudmounth
/index.php?option=com_articles
/index.php?option=com_flipwall
/index.php?option=com_neorecruit
/index.php?option=com_artforms
/index.php?option=com_directory
/index.php?option=com_rsgallery
/index.php?option=com_minibb
/index.php?option=com_jscalendar
/index.php?option=com_color
/index.php?option=com_jfuploader
/index.php?option=com_phpshop
/index.php?option=com_ponygallery
/index.php?option=com_question
/index.php?option=com_colophon
/index.php?option=com_remository
/index.php?option=com_cpg
/index.php?option=com_gmaps
/index.php?option=com_jobprofile
/index.php?option=com_connect
/index.php?option=com_mcquiz
/index.php?option=com_webring
/index.php?option=com_alameda
/index.php?option=com_babackup
/index.php?option=com_autostand
/index.php?option=com_videodb
/index.php?option=com_neoreferences
/index.php?option=com_astatspro
/index.php?option=com_nicetalk
/index.php?option=com_forum
/index.php?option=com_rwcards
/index.php?option=com_easybook
/index.php?option=com_pollxt
/index.php?option=com_jmsfileseller
/index.php?option=com_mambelfish
/index.php?option=com_quran
/index.php?option=com_mgm
/index.php?option=com_hmcommunity
/index.php?option=com_flyspray
/index.php?option=com_caproductprices
/index.php?option=com_timereturns
/index.php?option=com_extended_registrezine
/index.php?option=com_rsgallery2
/index.php?option=com_xcloner-backupandrestore
/index.php?option=com_galeria
/index.php?option=com_joomlaradiov5
/index.php?option=com_calcbuilder
/index.php?option=com_reporter
/index.php?option=com_dcnews
/index.php?option=com_booklibrary
/index.php?option=com_lurm_constructormambatstaff
/index.php?option=com_performs
/index.php?option=com_a6mambohelpdesk
/index.php?option=com_jd-wiki
/index.php?option=com_joomnik
/index.php?option=com_joomlalib
/index.php?option=com_pccookbook
/index.php?option=com_nfn_addressbook
/index.php?option=com_jvideo
/index.php?option=com_juser
/index.php?option=com_jimtawl
/index.php?option=com_hashcash
/index.php?option=com_mediaslide
/index.php?option=com_admin
/index.php?option=com_mospray
/index.php?option=com_ynews
/index.php?option=com_peoplebook
/index.php?option=com_serverstat
/index.php?option=com_paxxgallery
/index.php?option=com_obsuggest
/index.php?option=com_news
/index.php?option=com_htmlarea3_xtd-c
/index.php?option=com_multibanners
/index.php?option=com_zoom
/index.php?option=com_quiz
/index.php?option=com_kochsuite
/index.php?option=com_mmp
/index.php?option=com_lmo
/index.php?option=com_jooget
/index.php?option=com_fireboard
/index.php?option=com_jcs
/index.php?option=com_tsonymf
/index.php?option=com_doc
/index.php?option=com_discussions
/index.php?option=com_jpack
/index.php?option=com_extcalendar
/index.php?option=com_slideshow
/index.php?option=com_bayesiannaivefilcalendar
/index.php?option=com_agoragroup
/index.php?option=com_facileforms
/index.php?option=com_mtree
/index.php?option=com_linkdirectory
/index.php?option=com_contushdvideoshare
/index.php?option=com_ebackup
/index.php?option=com_jquarks4s
/index.php?option=com_wmtgallery
/index.php?option=com_neogallery
/index.php?option=com_restaurante
/index.php?option=com_noticias
/index.php?option=com_rsfiles
/index.php?option=com_rapidrecipe
/index.php?option=com_rsappt_pro2
/index.php?option=com_joomla_flash_upljoomlaboard
/index.php?option=com_resman
/index.php?option=com_galleria
/index.php?option=com_sitemap
/index.php?option=com_mdigg
/index.php?option=com_versioning
/index.php?option=com_jeajaxeventcalendar
/index.php?option=com_mp3_allopass
/index.php?option=com_joomtouch
/index.php?option=com_mambowiki
/index.php?option=com_sponsorwall
/index.php?option=com_simpleboard
/index.php?option=com_puarcade
/index.php?option=com_artlinks
/index.php?option=com_ccinvoices
/index.php?option=com_uhp
/index.php?option=com_jjgallery
/index.php?option=com_xfaq
/index.php?option=com_joomlaflashfun
/index.php?option=com_cropimage
/index.php?option=com_joom12pic
/index.php?option=com_jim
Dietmar

Die Realität ist eine Halluzination, die durch akuten Alkoholmangel hervorgerufen wird.

Henning

  • Unter Beobachtung
  • Beiträge: 1
Antw: Brandgefährlicher Bot unterwegs
« Antwort #2 am: 02. März 2012, 18:36:01 »
Ach du Schande ...

... na das werde ich dann 'mal lieber einbauen :-)

Danke für den Hinweis

X-Bit

  • Bestätigter Nutzer
  • Beiträge: 6
  • Jede Frage erhält die entsprechende Antwort!
Antw: Brandgefährlicher Bot unterwegs
« Antwort #3 am: 03. März 2012, 00:58:23 »
Auch Google scheint sich einen dreck um die robots.txt zu scheeren...

Eine relativ neue Seite (seit ein paar Wochen online) wurde von Google [sorry Google Link funktioniert so nicht, deshalb neu ein  BILD] indexiert.

Da tauchen drei links auf, die da meiner meinung nach nicht rein gehören:

http://www.mariabonita-pb.com.br/plugins/editors/jce/tiny_mce/plugins/mediamanager/swf/flvplayer.swf
http://www.mariabonita-pb.com.br/plugins/system/jcemediabox/js/jcemediabox.js?v=1017
http://www.mariabonita-pb.com.br/components/com_breezingforms/images/captcha/securimage_show.php?bfMathRandom=

Die robots.txt ist unverändert seit Anfang an drinn.
« Letzte Änderung: 03. März 2012, 15:32:38 von X-Bit »

J-Worker

  • Bestätigter Nutzer
  • Beiträge: 18
  • Hat keine Ahnung. Davon aber ganz viel...
    • Webentwicklung mit Joomla!
Antw: Brandgefährlicher Bot unterwegs
« Antwort #4 am: 03. März 2012, 11:09:57 »
Hi,

naja scheint ein "alter" Bot zu sein wenn er noch
/index2.php?aufruft.

Zumindest ruft er Erweiterungen auf, die mal Lücken aufwiesen. Jetzt aber von "Brandgefährlich" zu sprechen wäre "Bild" Niveau. Brandgefährlich sind dann eher die User, die Ihren alten Digitalen Schrott nicht aktuell halten.

Joomla-Hilfe

  • Oberwetterfrosch (Mod)
  • Beiträge: 155
Antw: Brandgefährlicher Bot unterwegs
« Antwort #5 am: 03. März 2012, 11:58:58 »
Brandgefährlich sind dann eher die User, die Ihren alten Digitalen Schrott nicht aktuell halten.
Wie willst du etwas aktuell halten, das bei einer neuen Sicherheitslücke schneller von den Hackern gefunden wird als der Programmierer den Patch verteilen kann?
Dietmar

Die Realität ist eine Halluzination, die durch akuten Alkoholmangel hervorgerufen wird.

bembelimen

  • moderatives Dielektrikum
  • Beiträge: 227
  • Ich kam, sah und zensierte...
    • Joomla! Vereinsverwaltung
Antw: Brandgefährlicher Bot unterwegs
« Antwort #6 am: 03. März 2012, 15:12:16 »
Der Trick ist folgender:

- Jemand findet eine neue Lücke in einer Komponente
- Er geht auf die Herstellerseite des Bots(verticalpigeon[dot]com)
- Dort kann man sich für eine bestimmte Komponente alle (gefundene) Nutzer auflisten lassen, bzw. einen Bericht beantragen
- Nun kann er schön potenzielle Ziele abklappern.

Auch Google scheint sich einen dreck um die robots.txt zu scheeren...

[...]

Die robots.txt ist unverändert seit Anfang an drinn.

Evtl. hilft das hier:

Zitat
Zwar wird der Content von Seiten, die durch die Datei "robots.txt" blockiert sind, von Google weder gecrawlt noch indexiert, möglicherweise erfolgt jedoch dennoch eine Indexierung der URLs, falls diese auf anderen Webseiten gefunden werden.

Die URL kann man im Webmaster-Center rauswerfen lassen.
« Letzte Änderung: 03. März 2012, 15:21:15 von bembelimen »
Joomla! ist auch nur ein Mensch...

Joomla-Hilfe

  • Oberwetterfrosch (Mod)
  • Beiträge: 155
Antw: Brandgefährlicher Bot unterwegs
« Antwort #7 am: 03. März 2012, 19:41:50 »
Evtl. hilft das hier:
Das halte ich für eine ziemlich lahme Ausrede. Google indexiert keine Seiten, die der Bot nicht besucht hat, egal wo er den Link findet. Und wenn er sie besucht, muß er sich vorher überzeugen, daß er das auch darf.
Dietmar

Die Realität ist eine Halluzination, die durch akuten Alkoholmangel hervorgerufen wird.