Hacker am Werk?

    Hallo allerseits,
    ich betreue die Hompage vom AHO-Hessen (http://www.aho-hessen.de) und habe mir einen Script gabaut, der mir jedesmal, wenn Error 404 ensteht eine E-Mail schickt. So bekomme ich es sofort mit, wenn ich irgendwo Mist gebaut habe:rolleyes:.

    Ich bekomme aber auch öfters Mails, die in etwa so aussehen:

    Code
    Die Seite '/cgi-bin/news.cgi?id=%7Cid%7C' - gerufen von whl0009.whservidor.com - wurde nicht gefunden.
[B]oder[/B][FONT=monospace]
[/FONT]Die Seite '[I]/services/help/[/I]?show=about&module=;%22.passthru(%22id%22);' - gerufen von whl0009.whservidor.com - wurde nicht gefunden.
[B]oder auch [/B][FONT=monospace]
[/FONT]Die Seite '/cgi-bin/acart/acart.pl?&page=%7Cuname%20-a;pwd;id%7C' - gerufen von whl0009.whservidor.com - wurde nicht gefunden.

    Solcher Art Links gibt es überhaupt auf der HP nicht.

    Was also hat das zu bedeuten???
    Sind da irgendwelche Hacker am Werk, die auf gut Glück bestimmte Links probieren oder was?

    Keep :)
    Horst

    Ich kenn mich mit Angriffen auf CGI- und Perl-Scripte nicht aus, aber sieht in der Tat schwer danach aus, als hätte die Seite jemand zu hacken versucht. Unter anderem wurde versucht, über passthru Code auszuführen, wenn ich das richtig sehe.

    Information will frei verfügbar sein.

    Don't eat unpeeled hedgehogs.

    Hallo Afrael,
    danke für die Aufklärung.

    Zitat von Afrael

    Ich kenn mich mit Angriffen auf CGI- und Perl-Scripte nicht aus, aber sieht in der Tat schwer danach aus, als hätte die Seite jemand zu hacken versucht. Unter anderem wurde versucht, über passthru Code auszuführen, wenn ich das richtig sehe.


    Offenbar gibt es wohl CMS-Systeme, bei denen diese Pfade Standard und bekannt sind und daher wohl auch angreifbar:?.
    Also ist es doch besser, ohne CMS aus zukommen!?

    Keep :)
    Horst

    Nein ist nicht besser !

    Okay wenn du nur eine auf HTML gemachte Seite hast dann ist das bestimmt Sicherer , anders aber nicht.

    Wenn du zb mit nicht allzu großen PHP Wissen eine Serite machst, können da viele Fehler entstehen, ein CMS wird ja immer weiterentwickelt und oft auch von mehr als einer Person

    VOn der Seite kommt aber kein Angriff

    mfg

    2 Mal editiert, zuletzt von Pion (28. Mai 2009 um 17:26)

    Pion, da hat jemand versucht, die Funktion passthru über GET-Variablen aufzurufen sowie den Unix-Befehl uname zu verwenden. Erkläre mir bitte, wie das kein Angriff ist.

    Information will frei verfügbar sein.

    Don't eat unpeeled hedgehogs.

    Die Funktion wurde ja nicht erfunden um Websiten zu hacken,aber ich weis es nicht, die Seite scheint mir aber nicht so bösartig zu sein

    Aber du hast schon recht ist merkwürdig, aber sicher ist ja deine Seite dadruch trotzdem:)


    mfg

    Was wäre denn passiert, wenn diese Art Zugriffe Erfolg gehabt hätten????

    Diese Art Zugriffe bekomme ich ja auch nur mit, weil sie einen Error 404 ausgelöst haben.
    Noch ein paar Beispiele gefällig?

    Code
    Die Seite '/cgi-sys/guestbook.cgi?user=cpanel&template=%7Cid%7C' - gerufen von whl0009.whservidor.com - wurde nicht gefunden.
Die Seite '/cgi-bin/quikstore.cgi?category=%7Cid%7C' - gerufen von whl0009.whservidor.com - wurde nicht gefunden.
Die Seite '/cgi-bin/index.cgi?page=%7Cuname%20-a;id%7C' - gerufen von whl0009.whservidor.com - wurde nicht gefunden.
Die Seite '/technote/main.cgi/file.txt?down_num=953713356&board=my_board&command=down_load&filename=file.txt%7Cid%7C' - gerufen von whl0009.whservidor.com - wurde nicht gefunden.

    Danke für Eure Antworten und Einschätzungen.

    Keep :)
    Horst

    Google mal nach den Namen der Scripte in verbindung mit "exploit" oder ähnlichem, da wird das (zumindest auf Englisch) erklärt.

    Information will frei verfügbar sein.

    Don't eat unpeeled hedgehogs.

    Es muss auch nicht unbedingt diese Seite sein, die dich hackt, kann auch sein, dass dort ein Angriff war und ein Script ausgeführt wird, was sowas versucht. Das selbe gabs bei meinem Vater, denn dort waren unsichere Uploadscripte oderso im CMS und dann waren da Scripte drauf, welche ganz viele Mails verschickt haben mit unserer Domain. Aber ich hab da nicht soviel Ahnung ;)

    Ich zitiere - mich:
    "Ohne Preis, kein Schweiß... :cool:"