Rocksolid Light

groups  faq  privacy  How to post  login

Message-ID:  

You will be called upon to help a friend in trouble.

rocksolid / de.comm.software.webserver / Komische Attacken auf Webserver

SubjectAuthor
* Komische Attacken auf WebserverTim Ritberg
`* Re: Komische Attacken auf WebserverPeter J. Holzer
 `* Re: Komische Attacken auf WebserverTim Ritberg
  `* Re: Komische Attacken auf WebserverPeter J. Holzer
   `- Re: Komische Attacken auf WebserverTim Ritberg

1
Subject: Komische Attacken auf Webserver
From: Tim Ritberg
Newsgroups: de.comm.software.webserver
Date: Fri, 12 Jan 2024 13:27 UTC
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!reader5.news.weretis.net!news.tota-refugium.de!.POSTED!not-for-mail
From: tim...@server.invalid (Tim Ritberg)
Newsgroups: de.comm.software.webserver
Subject: Komische Attacken auf Webserver
Date: Fri, 12 Jan 2024 14:27:43 +0100
Message-ID: <unreof$ct7g$1@tota-refugium.de>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 12 Jan 2024 13:27:44 -0000 (UTC)
Injection-Info: tota-refugium.de;
logging-data="423152"; mail-complaints-to="abuse@news.tota-refugium.de"
User-Agent: Mozilla Thunderbird
Cancel-Lock: sha1:0nuMeGVjlJuIeqSJ08OFSiOzj/0=
Content-Language: de-DE
X-User-ID: eJwNyskBwCAIBMCW5NhFykGU/ktI5j0wCjucoGMw9iJPWVrBNcEorG7MFTncyMfY2pqlq+7fPw+fEKs=
View all headers

Hi!

Ich sehe gerade auf einige Webservern im Log merkwürdige Commandos/Code
im Referrer-Teil.
Von der gleichen IP kommen auch Anfragen, wo der Referrer eine
Googlesuche mit "search?hl=en&q=testing" zeigt.

Welche Software soll denn da angreifbar sein?

Tim

Subject: Re: Komische Attacken auf Webserver
From: Peter J. Holzer
Newsgroups: de.comm.software.webserver
Organization: LUGA
Date: Fri, 12 Jan 2024 14:09 UTC
References: 1
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!newsfeed.xs3.de!tahina.priv.at!news.luga.at!.POSTED.212.17.106.130!not-for-mail
From: hjp-usen...@hjp.at (Peter J. Holzer)
Newsgroups: de.comm.software.webserver
Subject: Re: Komische Attacken auf Webserver
Date: Fri, 12 Jan 2024 15:09:53 +0100
Organization: LUGA
Message-ID: <slrnuq2i1h.1510u.hjp-usenet4@trintignant.hjp.at>
References: <unreof$ct7g$1@tota-refugium.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
Injection-Info: vinge.luga.at; posting-host="212.17.106.130";
logging-data="21502"; mail-complaints-to="usenet@vinge.luga.at"
User-Agent: slrn/1.0.3 (Linux)
Cancel-Lock: sha1:zBv7tohqo2pSI9PQ+E/aOIZxMF4=
View all headers

On 2024-01-12 13:27, Tim Ritberg <tim@server.invalid> wrote:
> Ich sehe gerade auf einige Webservern im Log merkwürdige Commandos/Code
> im Referrer-Teil.
> Von der gleichen IP kommen auch Anfragen, wo der Referrer eine
> Googlesuche mit "search?hl=en&q=testing" zeigt.
>
> Welche Software soll denn da angreifbar sein?

Web-Software.

Sorry, genauer kann man das bei den Informationen, die Du lieferst,
nicht sagen. "merkwürdige Commandos/Code" kommen bei so ziemlich allen
Attacken vor, und dass der Referer dafür verwendet wird, ist auch nicht
selten.

Du musst schon Beispiele posten.

hp

Subject: Re: Komische Attacken auf Webserver
From: Tim Ritberg
Newsgroups: de.comm.software.webserver
Date: Fri, 12 Jan 2024 17:26 UTC
References: 1 2
Path: i2pn2.org!i2pn.org!news.neodome.net!weretis.net!feeder8.news.weretis.net!reader5.news.weretis.net!news.tota-refugium.de!.POSTED!not-for-mail
From: tim...@server.invalid (Tim Ritberg)
Newsgroups: de.comm.software.webserver
Subject: Re: Komische Attacken auf Webserver
Date: Fri, 12 Jan 2024 18:26:11 +0100
Message-ID: <unrsnj$d7uq$1@tota-refugium.de>
References: <unreof$ct7g$1@tota-refugium.de>
<slrnuq2i1h.1510u.hjp-usenet4@trintignant.hjp.at>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 12 Jan 2024 17:26:11 -0000 (UTC)
Injection-Info: tota-refugium.de;
logging-data="434138"; mail-complaints-to="abuse@news.tota-refugium.de"
User-Agent: Mozilla Thunderbird
Cancel-Lock: sha1:xq8ReEA0rBwYfbs1Z8odhJ9DkGE=
X-User-ID: eJwNy8sNACEIBcCWhPeRdoSN/ZewXicZweHZtExdXQKIxGg5l3iI5siViIJuPQp/p/uVnNg/6x4Pmw==
In-Reply-To: <slrnuq2i1h.1510u.hjp-usenet4@trintignant.hjp.at>
Content-Language: de-DE
View all headers

Am 12.01.24 um 15:09 schrieb Peter J. Holzer:

> Sorry, genauer kann man das bei den Informationen, die Du lieferst,
> nicht sagen. "merkwürdige Commandos/Code" kommen bei so ziemlich allen
> Attacken vor, und dass der Referer dafür verwendet wird, ist auch nicht
> selten.
>
> Du musst schon Beispiele posten.

XOR(if(now()=sysdate(),sleep(15),0))XOR\"Z

oder
DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||

Tim

Subject: Re: Komische Attacken auf Webserver
From: Peter J. Holzer
Newsgroups: de.comm.software.webserver
Organization: LUGA
Date: Fri, 12 Jan 2024 18:27 UTC
References: 1 2 3
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!newsfeed.xs3.de!tahina.priv.at!news.luga.at!.POSTED.212.17.106.130!not-for-mail
From: hjp-usen...@hjp.at (Peter J. Holzer)
Newsgroups: de.comm.software.webserver
Subject: Re: Komische Attacken auf Webserver
Date: Fri, 12 Jan 2024 19:27:45 +0100
Organization: LUGA
Message-ID: <slrnuq315f.15nnp.hjp-usenet4@trintignant.hjp.at>
References: <unreof$ct7g$1@tota-refugium.de>
<slrnuq2i1h.1510u.hjp-usenet4@trintignant.hjp.at>
<unrsnj$d7uq$1@tota-refugium.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
Injection-Info: vinge.luga.at; posting-host="212.17.106.130";
logging-data="28660"; mail-complaints-to="usenet@vinge.luga.at"
User-Agent: slrn/1.0.3 (Linux)
Cancel-Lock: sha1:QlEbHvqJW/nV7fDntjTPhSy/DHU=
View all headers

On 2024-01-12 17:26, Tim Ritberg <tim@server.invalid> wrote:
> Am 12.01.24 um 15:09 schrieb Peter J. Holzer:
>> Sorry, genauer kann man das bei den Informationen, die Du lieferst,
>> nicht sagen. "merkwürdige Commandos/Code" kommen bei so ziemlich allen
>> Attacken vor, und dass der Referer dafür verwendet wird, ist auch nicht
>> selten.
>>
>> Du musst schon Beispiele posten.
>
> XOR(if(now()=sysdate(),sleep(15),0))XOR\"Z
>
> oder
> DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||

Schaut beides nach Oracle aus.

Sowas sehe ich hier auch, allerdings ist das nur ein Teil des Referers.
Der ganze schaut z.B. so aus:

https://unsere.website.example:443/gueltiger/path);SELECT DBMS_PIPE.RECEIVE_MESSAGE(CHR(108)||CHR(105)||CHR(79)||CHR(105),32) FROM DUAL--"

Klassische SQL-Injection.

Auf welche Software das abzielt, weiß ich nicht. Sicher irgendwas, was
Schlipse um teures Geld kaufen.

hp

Subject: Re: Komische Attacken auf Webserver
From: Tim Ritberg
Newsgroups: de.comm.software.webserver
Date: Fri, 12 Jan 2024 21:50 UTC
References: 1 2 3 4
Path: i2pn2.org!i2pn.org!news.neodome.net!weretis.net!feeder8.news.weretis.net!reader5.news.weretis.net!news.tota-refugium.de!.POSTED!not-for-mail
From: tim...@server.invalid (Tim Ritberg)
Newsgroups: de.comm.software.webserver
Subject: Re: Komische Attacken auf Webserver
Date: Fri, 12 Jan 2024 22:50:01 +0100
Message-ID: <unsc69$df6d$1@tota-refugium.de>
References: <unreof$ct7g$1@tota-refugium.de>
<slrnuq2i1h.1510u.hjp-usenet4@trintignant.hjp.at>
<unrsnj$d7uq$1@tota-refugium.de>
<slrnuq315f.15nnp.hjp-usenet4@trintignant.hjp.at>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 12 Jan 2024 21:50:02 -0000 (UTC)
Injection-Info: tota-refugium.de;
logging-data="441549"; mail-complaints-to="abuse@news.tota-refugium.de"
User-Agent: Mozilla Thunderbird
Cancel-Lock: sha1:lvY9QUl5XfU9+9KDzgyksa+GOfw=
Content-Language: de-DE
X-User-ID: eJwFwYkBADAEBLCVFOcZh5b9R2gCsWPX1WCKxZZvgO+bIG68zCEXOqA0bFZ1rFrL22keYvkdMhE1
In-Reply-To: <slrnuq315f.15nnp.hjp-usenet4@trintignant.hjp.at>
View all headers

Am 12.01.24 um 19:27 schrieb Peter J. Holzer:
>> XOR(if(now()=sysdate(),sleep(15),0))XOR\"Z
>>
>> oder
>> DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||
>
> Schaut beides nach Oracle aus.
>
> Sowas sehe ich hier auch, allerdings ist das nur ein Teil des Referers.
> Der ganze schaut z.B. so aus:
>
> https://unsere.website.example:443/gueltiger/path);SELECT DBMS_PIPE.RECEIVE_MESSAGE(CHR(108)||CHR(105)||CHR(79)||CHR(105),32) FROM DUAL--"
>
> Klassische SQL-Injection.
>
Den SELECT-Befehl habe ich überhaupt nicht, immer nur Bruchstücke...

Tim

rocksolid / de.comm.software.webserver / Komische Attacken auf Webserver

1
server_pubkey.txt

rocksolid light 0.9.136
clearnet tor