Weitere Bots aus Botnang???

Für alle die den Witz in der URL nicht verstehen, weil es eben kein TCP Witz, der bekanntlich immer ankommt, hier eine kurze Erklärung: in Stuttgart gibt es wirklich ein Stadtteil der Botnang heißt, jedoch eher wie Bootnang ausgesprochen wird. Jetzt aber zurück zum Thema. Wie bereit in Bots, Bots, Bots geschildert, bekomme ich von einer noch im Entwicklungsmodus befindlichen Seiten immer eMails zugeschickt, sobald irgendwo ein Fehler auftritt.

Die URL der Seite wird immer bekannter, wodurch auch immer mehr Bots auf die Seite kommen und sie offensichtlich versuchen, wie nachfolgende Code-Fragmente beweisen, automatisiert zu hacken:

[PHP]
‘HTTP_USER_AGENT’ => ‘libwww-perl/5.803’,

Fehler-URL: http://www.example.com/microblog/function.require/?option=com_microblog&controller=../../../../../../../../../../../../../../../proc/self/environ%00

Fehler-URL: http://www.example.com/microblog/?option=com_microblog&controller=../../../../../../../../../../../../../../../proc/self/environ%00
[/PHP]

oder auch

[PHP]
‘HTTP_USER_AGENT’ => ‘Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.8.1.24pre) Gecko/20100228 K-Meleon/1.5.4’,

Fehler-URL: http://www.example.com//////index.php?option=com_myblog&Itemid=12&task=../../../../../../../../../../../../../../../../../../../../../../../..//proc/self/environ%0000
[/PHP]

Der Bot vermutet / hofft das sich hinter der Seite eine Joomla Installation befindet, da “com_myblog” ein Teil vom Joomla Content Manager ist.

Leave a Reply

Your email address will not be published. Required fields are marked *