[NSFW] Merkwürdige Quellenangabe

  • Resolved bkiehle

    (@bkiehle)


    3 years, 1 month ago

    Hallo zusammen,

    ich erhalte folgende Quellenangaben seit heute und habe dadurch statt ca. 100 Aufrufe nun 450.

    
https://1*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)%7C%7CCHR(99)%7C%7CCHR(99),15)
https://1'%7C%7CDBMS_PIPE.RECEIVE_MESSAGE(CHR(98)%7C%7CCHR(98)%7C%7CCHR(98),15)%7C%7C'
https://0xor(if(now()=sysdate(),sleep(15),0))xorz/
https://-1))or129=(select129frompg_sleep(15))--/

    Und viele weitere, ?hnliche..

    Vielen Dank!

    Gru? Bj?rn

    • This topic was modified 3 years, 1 month ago by Yui.
    • This topic was modified 3 years, 1 month ago by Yui. Reason: formatting

    The page I need help with: [log in to see the link]

Viewing 2 replies - 1 through 2 (of 2 total)
  • Plugin Support Stefan Kalscheuer

    (@stklcode)

    Hi Bj?rn,

    sieht auf den ersten Blick wie eine versuchte Header Injection aus. Es sind SQL Fragmente zu erkennen, die, wenn sie bspw. ganz naiv in ein Statement zur Statistikerfassung eingebunden werden, Daten abgreifen, ver?ndern o.?.

    Auf Statify trifft das nicht zu, hier wird bei den DB Operationen sauber escaped (offensichtlich, das Zeug ist ja da angekommen, wo es hin geh?rt). Also ist es hier glücklicher Weise nur Datenmüll.

    Vielleicht sollte man die Plausibilit?tsprüfung für Referrer URLs mal etwas nachsch?rfen.

    Wobei das ganze mit dbms_pipe oder pg_sleep generell eher nicht so aussieht, als sei WordPress das Ziel, da diese Funktionen in den unterstützten MySQL/MariaDB Datenbanken so im Regelfall nicht existieren.

    Sieht man immer wieder mal in verschiedensten Formen, gerne nachdem (oder kurz bevor) Sicherheitslücken in Serversoftware oder Frameworks bekannt werden. Dann füttert man sein Botnetz damit und l?sst es auf das Internet los. Irgendein Zufallsopfer findet man immer. Je nach Popularit?t und Impact gern mal koordiniert hunderte Anfragen pro Minute (Confluence vor ein paar Wochen war gro?artig, eine Woche lang rund 5-10/s auf zwei eher kleinen Instanzen, erst Fernost, dann Osteuropa und etwas GCP/AWS, … aber da war das Potenzial auch nicht ohne, wenn’s klappt). Meist eher harmlos, kurz mal ein paar hundert über wenige Tage. (wenn nicht, sollte man etwas weiter analysieren, warum man so Fokus steht)

    Wenn du Serverlogs im Zugriff hast, zeichnet sich ggf. ein simples Muster ab, sodass man ggf. wenige Subnetze sperren kann.

    Gru?,
    Stefan

    Thread Starter bkiehle

    (@bkiehle)

    Hi Stefan,

    vielen Dank! Gut, dass das auf Statify nicht zutrifft und sauber escaped wird. Hatte mich gestern nur gewundert und sowas bisher nicht in der Statify Anzeige im Dashboard gesehen.

    Nach wie vor ist Statify das Statistik-Plugin, das ich ausnahmslos auf allen Webseiten einsetze. Ich bin echt sehr zufrieden! Das wollte ich noch kurz weitergeben.

    Vielen Dank!

    Liebe Grü?e
    Bj?rn

Viewing 2 replies - 1 through 2 (of 2 total)
  • The topic ‘[NSFW] Merkwürdige Quellenangabe’ is closed to new replies.