Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Komische Attacken auf Webserver
39 views
Skip to first unread message
Tim Ritberg
Jan 12, 2024, 8:27:46 AM1/12/24
to
Hi!
Ich sehe gerade auf einige Webservern im Log merkwürdige Commandos/Code
im Referrer-Teil.
Von der gleichen IP kommen auch Anfragen, wo der Referrer eine
Googlesuche mit "search?hl=en&q=testing" zeigt.
Welche Software soll denn da angreifbar sein?
Tim
Ich sehe gerade auf einige Webservern im Log merkwürdige Commandos/Code
im Referrer-Teil.
Von der gleichen IP kommen auch Anfragen, wo der Referrer eine
Googlesuche mit "search?hl=en&q=testing" zeigt.
Welche Software soll denn da angreifbar sein?
Tim
Peter J. Holzer
Jan 12, 2024, 9:09:55 AM1/12/24
to
Sorry, genauer kann man das bei den Informationen, die Du lieferst,
nicht sagen. "merkwürdige Commandos/Code" kommen bei so ziemlich allen
Attacken vor, und dass der Referer dafür verwendet wird, ist auch nicht
selten.
Du musst schon Beispiele posten.
hp
Tim Ritberg
Jan 12, 2024, 12:26:13 PM1/12/24
to
Am 12.01.24 um 15:09 schrieb Peter J. Holzer:
> Sorry, genauer kann man das bei den Informationen, die Du lieferst,
> nicht sagen. "merkwürdige Commandos/Code" kommen bei so ziemlich allen
> Attacken vor, und dass der Referer dafür verwendet wird, ist auch nicht
> selten.
>
> Du musst schon Beispiele posten.
XOR(if(now()=sysdate(),sleep(15),0))XOR\"Z
oder
DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||
Tim
> Sorry, genauer kann man das bei den Informationen, die Du lieferst,
> nicht sagen. "merkwürdige Commandos/Code" kommen bei so ziemlich allen
> Attacken vor, und dass der Referer dafür verwendet wird, ist auch nicht
> selten.
>
> Du musst schon Beispiele posten.
oder
DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||
Tim
Peter J. Holzer
Jan 12, 2024, 1:28:01 PM1/12/24
to
Sowas sehe ich hier auch, allerdings ist das nur ein Teil des Referers.
Der ganze schaut z.B. so aus:
https://unsere.website.example:443/gueltiger/path);SELECT DBMS_PIPE.RECEIVE_MESSAGE(CHR(108)||CHR(105)||CHR(79)||CHR(105),32) FROM DUAL--"
Klassische SQL-Injection.
Auf welche Software das abzielt, weiß ich nicht. Sicher irgendwas, was
Schlipse um teures Geld kaufen.
hp
Tim Ritberg
Jan 12, 2024, 4:50:04 PM1/12/24
to
Am 12.01.24 um 19:27 schrieb Peter J. Holzer:
Tim
>> XOR(if(now()=sysdate(),sleep(15),0))XOR\"Z
>>
>> oder
>> DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||
>
> Schaut beides nach Oracle aus.
>
> Sowas sehe ich hier auch, allerdings ist das nur ein Teil des Referers.
> Der ganze schaut z.B. so aus:
>
> https://unsere.website.example:443/gueltiger/path);SELECT DBMS_PIPE.RECEIVE_MESSAGE(CHR(108)||CHR(105)||CHR(79)||CHR(105),32) FROM DUAL--"
>
> Klassische SQL-Injection.
>
Den SELECT-Befehl habe ich überhaupt nicht, immer nur Bruchstücke...
>>
>> oder
>> DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||
>
> Schaut beides nach Oracle aus.
>
> Sowas sehe ich hier auch, allerdings ist das nur ein Teil des Referers.
> Der ganze schaut z.B. so aus:
>
> https://unsere.website.example:443/gueltiger/path);SELECT DBMS_PIPE.RECEIVE_MESSAGE(CHR(108)||CHR(105)||CHR(79)||CHR(105),32) FROM DUAL--"
>
> Klassische SQL-Injection.
>
Tim
0 new messages