Tweet
Angriff auf Forum
am 9.10.2005 mußte ich feststellen, das mein Forum WBB2.3.0 nicht mehr funktionierte. Als ich die DB checkte stellte ich fest, das alle Userdaten gelöscht waren sowie alle Termindaten. Die Beiträge wahren aber alle noch da. Wer kann was zu den unten aufgelisteten Log-Dateien sagen ???
bzw. kann man so ein Forum angreifen ???
1. Dieser Eintrag dokumentiert eine Adminaktivität, welche nicht von uns ist.
Eintrag aus der Datenbank :
08.10.2005 00:29 08.10.2005 00:33 213.23.69.219 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; ...
2. Einen Mail-Log-Auszug zur gleichen Zeit mit gleicher IP :
ENV_Script=/wbb2/register.php ENV_Remote=213.23.69.219
2005/10/08-00:26:20 25.20412548.27822.1128723980 == for rossixx@gmx.net
2005/10/08-00:26:20 25.20412548.27822.1128723980 => sent to 212.227.126.202 (S=516)
2005/10/08-00:26:20 25.20412548.27845.1128723980 <= p7025730 Commandline=/usr/sbin/sendmail -t -i -f rossixx@gmx.net ENV_Script=/wbb2/register.php ENV_Remote=213.23.69.219
2005/10/08-00:26:20 25.20412548.27845.1128723980 == for sre4sdffr@4g54asd5.org' OR (userid=1 AND ascii(substring(password
2005/10/08-00:26:20 25.20412548.27845.1128723980 ** smtp server didn't accept RCPT To: command, replied "501 <sre4sdffr@4g54asd5.org' OR (userid=1 AND ascii(substring(password>: malformed address: ' OR (userid=1 AND ascii(substri may not follow <sre4sdffr@4g54asd5.org".
2005/10/09-21:54:56 25.20412548.27996.1128887696 <= p7025730 Commandline=/usr/sbin/sendmail -t -i -f rossixx@gmx.net ENV_Script=/wbb2/register.php ENV_Remote=80.171.48.100
3. Wurde festgestellt, das Spuren eines Sicherheitstools (Nessus) zu finden waren, die die Seiten auf Sicherheitslücken prüfte.
bzw. kann man so ein Forum angreifen ???
1. Dieser Eintrag dokumentiert eine Adminaktivität, welche nicht von uns ist.
Eintrag aus der Datenbank :
08.10.2005 00:29 08.10.2005 00:33 213.23.69.219 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; ...
2. Einen Mail-Log-Auszug zur gleichen Zeit mit gleicher IP :
ENV_Script=/wbb2/register.php ENV_Remote=213.23.69.219
2005/10/08-00:26:20 25.20412548.27822.1128723980 == for rossixx@gmx.net
2005/10/08-00:26:20 25.20412548.27822.1128723980 => sent to 212.227.126.202 (S=516)
2005/10/08-00:26:20 25.20412548.27845.1128723980 <= p7025730 Commandline=/usr/sbin/sendmail -t -i -f rossixx@gmx.net ENV_Script=/wbb2/register.php ENV_Remote=213.23.69.219
2005/10/08-00:26:20 25.20412548.27845.1128723980 == for sre4sdffr@4g54asd5.org' OR (userid=1 AND ascii(substring(password
2005/10/08-00:26:20 25.20412548.27845.1128723980 ** smtp server didn't accept RCPT To: command, replied "501 <sre4sdffr@4g54asd5.org' OR (userid=1 AND ascii(substring(password>: malformed address: ' OR (userid=1 AND ascii(substri may not follow <sre4sdffr@4g54asd5.org".
2005/10/09-21:54:56 25.20412548.27996.1128887696 <= p7025730 Commandline=/usr/sbin/sendmail -t -i -f rossixx@gmx.net ENV_Script=/wbb2/register.php ENV_Remote=80.171.48.100
3. Wurde festgestellt, das Spuren eines Sicherheitstools (Nessus) zu finden waren, die die Seiten auf Sicherheitslücken prüfte.
Kommentar