[FUN with]phpmyadmin/scripts/setup.php...

Cool · 26. September 2009

...wird ja immer wieder von bot´s oder was weis ich aufgerufen, wenn man seine log´s regelm. beobachtet.

da dieses so bei mir nicht existiert und die aufrufer mir ein wenig leid tun habe ich dann diesen pfad erstellt und eine:
setup.php
sowie
index.php
erstellt, mit folgendem inhalt:

PHP

<?php
header( 'Location: http://www.met.police.uk/' ) ;
?>

da ich äusserst eu/welt offen bin habe ich dann auch gleich ne englische seite gewählt.

jetzt kucken die armen zumindest nicht mehr in die "röhre":p

perryflynn · 27. September 2009

In meinen Logs die direkt auf die Server IP zeigen, findet sich auch eine Menge interessanter Sachen.

Code

2009-09-22 23:20:13 --> /phpmyadmin
2009-09-22 23:20:28 --> /lala
2009-09-22 23:20:35 --> /lulu
2009-09-23 05:30:59 --> /super_geheime_seite
2009-09-23 05:31:00 --> /robots.txt
2009-09-23 11:20:22 --> /test
2009-09-23 16:36:49 --> http://www.baidu.com/
2009-09-23 17:41:13 --> //phpmyadmin//scripts/setup.php
2009-09-23 17:41:15 --> //phpMyAdmin//scripts/setup.php
2009-09-23 22:54:44 --> 
2009-09-23 23:22:45 --> /kjhkhj
2009-09-24 00:43:18 --> /cvcv
2009-09-24 00:59:41 --> /pfad/2
2009-09-24 04:12:22 --> /myAdmin//scripts/setup.php
2009-09-24 04:12:23 --> /phpadmin/scripts/setup.php
2009-09-24 04:12:24 --> /phpmyadmin/scripts/setup.php
2009-09-24 04:39:45 --> /asas
2009-09-24 07:59:47 --> /adfe
2009-09-24 10:17:36 --> http://www.sina.com.cn/
2009-09-24 14:50:35 --> /pfad
2009-09-24 19:28:17 --> /?
2009-09-24 19:28:22 --> /klsajdlsadj?
2009-09-24 19:28:27 --> /sd?
2009-09-24 20:32:48 --> /sd
2009-09-24 21:27:00 --> //pma/config/config.inc.php?p=phpinfo();
2009-09-24 21:27:06 --> //php-my-admin/config/config.inc.php?p=phpinfo();
2009-09-24 21:27:09 --> //p/m/a/config/config.inc.php?p=phpinfo();
2009-09-24 23:12:44 --> /klsajdlsadj
2009-09-24 23:23:09 --> /data.txt
2009-09-25 10:28:24 --> /mod_rewrite
2009-09-25 14:20:43 --> /hhj
2009-09-25 19:19:33 --> /mail/bin/html2text.php
2009-09-25 19:19:34 --> /webmail/bin/html2text.php
2009-09-25 23:33:02 --> /phpMyAdmin/scripts/setup.php
2009-09-26 23:19:05 --> /admin/main.php
2009-09-27 01:51:33 --> /lol
2009-09-27 03:19:36 --> / script>ALERT  huhu  ;</script>
2009-09-27 08:04:39 --> / script>ALERT huhu ;</script>
2009-09-27 08:04:44 --> /<span style="color:red">jhuhu</span>
2009-09-27 08:04:49 --> /404.txt
2009-09-27 08:04:54 --> /huhu
2009-09-27 08:04:59 --> /lala?
2009-09-27 08:05:09 --> /phpmyadmin/setup/config.php?
2009-09-27 08:05:14 --> /sim4000_ist_toll
2009-09-27 08:27:12 --> /fjhkh7khkh/khkh/khkhk
2009-09-27 08:27:17 --> /hehe
2009-09-27 08:27:22 --> /http://google.de
2009-09-27 08:27:32 --> /lsls
2009-09-27 08:27:37 --> /sim4000 ist toll
2009-09-27 10:51:25 --> /dfsdf
2009-09-27 10:51:31 --> /site
2009-09-27 10:51:34 --> /admin
2009-09-27 10:51:39 --> /syscp
2009-09-27 17:31:06 --> /2
2009-09-27 17:31:11 --> /8

Alles anzeigen

http://188.40.184.135

sugersgroer · 27. September 2009

hmm solch ähnliche einträge find ich bei mir auch im log lol is das son netter scan von netcup? ich mein mir isses egal bei mir gibts keine setup datein mehr aber schon ulkig das halt die einträge bei mir fast genauso sind

perryflynn · 27. September 2009

Das sind einfach Bots, die nach einer Schwachstelle im phpMyAdmin suchen.
Und die netcup Server sind nicht die einzigen, die Standardmäßig pma & Co dort liegen haben.

Servior · 28. September 2009

Code

2009-09-27 08:05:14 --> /sim4000_ist_toll

Absicht? xD

Bots gibt es überall, wenn man das ganze aber entsprechend absichert sollte da nicht allzuviel passieren.

Falls du es nicht bereits drin hast und in der Übersicht einfach nur weggelassen, vllt. solltest du die IP mitloggen. Wer weiß wozu man die mal braucht^^

perryflynn · 28. September 2009

Zitat von Servior;6695

Absicht? xD

Ruf mal http://188.40.184.135/ auf, und hänge mal einen Beliebigen Pfad dahinter. Dann siehste, wieso solche "lustigen" Sachen da vorkommen.

freepers · 29. September 2009

gibts auch ne' möglichkeit, einen (tötet mich nicht, wenn der name falsch ist ^^) http redirect erstellen, sodass die bots bei bestimmten/allen verzeichnissen nen' permission denied http-header haben?

oder liege ich da falsch? ich meine, es mal bei einem von euch gelesen zu haben

wie mach ich das?

perryflynn · 29. September 2009

[PHP]<?php
header("HTTP/1.0 403 Forbidden");
?>[/PHP]in das PHP File schreiben und gut.
Kannst Du auch super mit dem Firefox AddOn Firebug nachprüfen.

//edit aus den Logs:

Code

2009-09-29 15:29:00 --> /deb http://de.archive.ubuntu.com/ubuntu dapper-updates main restricted universe multiverse

Lol. Da war aber einer lustig.

freepers · 29. September 2009

Zitat von sim4000;6779
PHP
<?php
   header("HTTP/1.0 403 Forbidden");
?>
in das PHP File schreiben und gut.
Kannst Du auch super mit dem Firefox AddOn Firebug nachprüfen.

//edit aus den Logs:
Code
2009-09-29 15:29:00 --> /deb http://de.archive.ubuntu.com/ubuntu dapper-updates main restricted universe multiverse
Lol. Da war aber einer lustig.

Danke.

Ja, frag mich nicht wer das war..hehe

Hatte es noch in der Zwischenablage drin

perryflynn · 2. Oktober 2009

Hab n paar neue Einträge.

Code

2009-10-02 09:47:28 --> http://188.40.184.135//admin/
2009-10-02 09:47:29 --> http://188.40.184.135//admin/record_company.php/password_forgotten.php?action=insert
2009-10-02 09:49:33 --> //README
2009-10-02 09:49:35 --> /horde//README
2009-10-02 09:49:36 --> /horde3//README
2009-10-02 09:49:37 --> /horde-3.0.9//README
2009-10-02 09:49:38 --> /Horde//README
2009-10-02 11:41:25 --> //images/99965.php?cmd=uptime

Vor allem das letzte sieht interessant aus.
Aber wird immer ruhiger in meinen Logs. Da nur das Aufgezeichnet wird, was es noch nicht gibt.

[FUN with]phpmyadmin/scripts/setup.php...

Ähnliche Themen

Nested KVM crasht Server

Debian Jessie unter Froxlor FCGID oder PHP-FPM aktivieren, danach Restart Apache nicht möglich

Irreführende Produktbeschreibung und fehlende Kulanz

Angriffe auf andere von meinem Freebsd Server durch Unbekannte

Datenbank export funktioniert nicht - Komische Datei wird erzeugt