Sind das Hackversuche?

[Anke]

Hallöchen,

seit einiger Zeit finde ich in den Logs verschiedener Webs solche und ähnliche Frontend-Error-Einträge:

Code:

Details: 	No active page for page ID "Fckeditor", host "www.[...].de" and languages "zh-CN, zh" (http://www.[...].de/Fckeditor/editor/filemanager/browser/default/connectors/test.html)
Funktion: 	Contao\PageError404::generate
IP-Adresse: 	221.181.73.0
Browser: 	Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)

Sind das laienhafte Hackversuche oder sowas?

Gruß,
Anke

[lucina]

Ja.

[fabil]

Kann man schon als Hackversuche sehen, da es wohl ein Bot ist, der einfach eine große Menge an Websites abgrast und testet, ob der ckeditor verwendet wird.
Aber in diesem Fall muss man sich mit Contao keine Sorgen machen, da Contao den TinyMCE nutzt.

Wird wohl versucht, ein anderes CMS zu finden, welches vermutlich eine potentielle Sicherheitslücke hat (Muss nicht unbedingt der ckeditor sein).

[tab]

Sowas kann eventuell sogar durch den Google-Bot verursacht werden, MUSS also kein Hackversuch sein.
Siehe z.B. die Hilfeseite in den Google Webmaster-Tools, insbesondere unten den Abschnitt "Unerwartete 404-Fehler".

[lucina]

Wenn der Googlebot über eine IP von China mobile hereinkommt, dann fresse ich - mit Verlaub - mehr als einen Besen ... ;-)

Klarer Sicherheitslücken-Scan, wie man auch u.a. unter https://isc.sans.edu/diary/Scans+for...+Manager/17821 nachlesen kann.

Ich habe Installationen, bei denen das (und anderes) täglich ein paar hundert mal versucht wird. Abhilfe bringen dann beispielsweise IP-basierte Sperren, die man ja auch automatisiert machen kann.

[tab]

Da gebe ich dir natürlich recht. Hatte allerdings auch schon Fälle, wo der Google-Bot zumindest 404-Fehler generiert hat für Seiten, die garantiert nie so auf der Website existiert haben und auch nicht auf Vorgängerversionen davon. Allerdings kamen die Anfragen da auch nicht aus China oder sonstigen "verdächtigen" Regionen der Welt. .

[tab]

Habe zur Zeit auch häufiger die netten Scans aus China. Dutzendweise FE-Errors zum Thema ckeditor, der wird in den unterschiedlichsten Verzeichnissen vermutet - aber natürlich nirgends gefunden. Auch wp-admin ist immer wieder gern genommen.

[Flaschenzug]

Same here...
Auf mehreren Seiten immer das selbe Prozedere, besonders gern der FCKEDITOR.

[lucina]

Return to sender:

Code:

RewriteEngine On
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\.|\*|;||’|”|\)|%0A|%0D|%22|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(md5|benchmark|union|select|insert|cast|set|declare|drop|update|admin|Fckeditor|Editor).* [NC]
RewriteRule ^(.*)$ http://%{REMOTE_ADDR}/ [F,L]

Sent from my iPhone using Tapatalk

[Flaschenzug]

Liebe lucina,

danke für diesen tollen .htaccess Auszug. :-)

Mal eine Frage die in ähnliche Richtung geht:
Setzt jemand von euch Bot-Trap ein?
Mich würden ein paar Erfahrungen dazu mit Contao interessieren.

Danke und schönen Abend

[NetMediaWork]

Setzt jemand von euch Bot-Trap ein?

mitunter ja

[Anke]

Seit kurzem habe ich auf einer Site täglich jede Menge solcher Log-Einträge, immer vom selben "Absender":

Details: The request for page ID "termindetails" contained unused GET parameters: "termindetails" (http://[domain].de/termindetails/termindetails/[seite].html?month=201504)
Funktion: Contao\PageError404::generate
IP-Adresse: 88.198.xx.x
Browser: Mozilla/5.0 (compatible; MegaIndex.ru/2.0; +https://www.megaindex.ru/?tab=linkAnalyze)