• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Meldung: XSS Attack

Status
Für weitere Antworten geschlossen.
Maxi

Maxi

Neues Mitglied
Hallo,

in ganz unregelmäßigen Abständen bekomme ich E-Mails, deren Betreff lautet mf-89.com : XSS Attack mit meinem Namen und meiner E-Mail-Adresse als Absender.

Hat das irgendwas zu bedeuten, versucht da jemand meine Homepage zu hacken? Oder ist das nur blöder Spam in ner (für mich) neuen Form?
 
Hmm... vllt ist deine Webseite geknackt und kann als Spamserver benutzt werden und derjenige der sie geknackt hat, sagt es dir auf die höfliche Art.
 
Benutzt du vielleicht ein CMS?
Eventuell schickt dieses CMS eine eMail an
den Admin, wenn eine XSS-Attacke festgestellt werden konnte?!
 
m0sT schrieb:
Benutzt du vielleicht ein CMS?
Eventuell schickt dieses CMS eine eMail an
den Admin, wenn eine XSS-Attacke festgestellt werden konnte?!
Zum Vergrößern anklicken....

Ja, ich nutze ein CMS.
Und was ist diese XSS-Attacke genau? Versucht dann jemand Zugriff auf meinen Admin-Bereich zu bekommen?
 
Maxi schrieb:
Ja, ich nutze ein CMS.
Und was ist diese XSS-Attacke genau? Versucht dann jemand Zugriff auf meinen Admin-Bereich zu bekommen?
Zum Vergrößern anklicken....

Nicht versuchen sondern ich befürchte fast, er/sie hat Zugriff auf den Bereich. Eine XSS-Attacke ist ein Cross Site Scripting. Kurz gesagt, einschläusen von Fremdcode in Formulare o. globale Variablen etc. Das ist sehr oft bei phpnuke CMS´s. Schau mal hier:Cross-Site Scripting - Wikipedia Da findest Du mehr Informationen.

Gruß Sven
 
Web_spider schrieb:
naja vorerst wahrscheinlich schon, aber wenn er was hat, musst du die Ursache finden.
Zum Vergrößern anklicken....

Also, ich habs jetzt mal geändert, hoffentlich bringts wenigstens etwas...
ich hab außerdem mal im Contrexx-Forum nachgefragt, vielleicht können die mir da genau sagen, ob ich mir diese Sorgen wirklich machen muss und ob ich gehacked wurde...
 
Ich weiß ja nicht, ob das vll. nur eine Einschüchterung ist.
Sag mal hast du Logdateien, als Beispiel von der MySQL Datenbank, dann kannste erstmal ausschließen, dass keine SQL-Injection hattest. Wenn du einen Rootserver besitzt sollte so gut wie alles Protokolliert werden, und wenn nicht meld dich vll. mal an deinen Hoster.

Obwohl ich vermute diese Emails werden von deinem CMS geschickt an dich, jedes mal wenn das Script vermutet, dass eine XSS Attacke auf deine Website ausgeführt wurde. Deswegen muss es noch gar nicht sein, dass du schon gehackt wurdest.

MfG

Web_spider
 
Also, um ganz sicher zu gehen hab ich die Mail jetzt an meinen Webspace-Anbieter weitergeleitet und auch bei Contrexx nachgefragt. Mein Passwort ist auch geändert. Sobald ich was erfahre lass ichs euch natürlich wissen, vielen Dank für eure Antworten bisher.

Mir sind noch 4 Zeilen in diesem E-Mail-Text aufgefallen, schaut doch bitte mal da: http://mf-89.com/upload/attack2.txt

Kann es sein, dass diese zeilen bedeuten, dass jemand einen Eintrag in meinem Gästebuch vornehmen wollte, bei dem ein Script ausgeführt werden sollte, was von meinem CMS geblockt wurde und worüber ich diese Mail als Info erhalten habe?
 
Ja, es liegt am Gästebuch, ich habe es gerade zwei mal getestet, folgendes:

1. Test:
Alle Pflichtfelder und auch den Sicherheitscode richtig eingegeben, den Text auf der oben genannten Datei genomman.
Ergebnis: Eintrag wurde ganz normal ausgeführt, das Script aber nicht, da aus allen < automatisch ein &lt; und aus allen > ein &gt; gemacht wurde.
Ich hab nur ne normale Mail bekommen, dass es einen neuen Gästebucheintrag gibt.

2. Test:
Wieder gleicher Code, nur einen Namen eingetragen und die restlichen Pflichtfelder leer gelassen, auch den Sicherheitscode.
Ergebnis: kein Eintrag, aber 4 neue E-Mails mit dem betreff XSS-Attack, die sehen genauso aus wie die am Anfang des Themas, als Name wird darin mein Testname genannt un der Tetsinhalt.

Danke euch für eure Hilfe, nun ist das Problem geklärt.

Und ich weiß jetzt, dass mein Gästebuch sicher ist, und dass solche Scripte darin nicht ausgeführt, sondern "entschärft" werden. Bei der Mail handelt es sich also nur um einen Hinweis, dass versucht wurde, einen solchen Eintrag vorzunehmen.

Mann bin ich froh 8)
 
m0sT schrieb:
Benutzt du vielleicht ein CMS?
Eventuell schickt dieses CMS eine eMail an
den Admin, wenn eine XSS-Attacke festgestellt werden konnte?!
Zum Vergrößern anklicken....

sach ich ja xD
ansonsten ist bei nem cms eben immer diese gefahr, da
es von vielen leuten benutzt und auch auf sicherheitslücken untersucht werden kann.
 
m0sT schrieb:
sach ich ja xD
ansonsten ist bei nem cms eben immer diese gefahr, da
es von vielen leuten benutzt und auch auf sicherheitslücken untersucht werden kann.
Zum Vergrößern anklicken....

Wenn ich mir deiner log so ansehe würde ich folgendes vermuten. Ein Gast mit dem Namen "generic viagra" hat versucht auf deiner SEite folgenden Code ins GB zu schreiben:
Code: 
 xaxh5yr-rjw1ieb-tw6q23e5-0 var r = document.referrer; document.write('')
ES handelt sich hierbei nur um einen Ausschnitt von dem POST. DAhinter kommen noch Links zu Viagra und Casinoseiten. Dieses wurde von deinem CMS erfolgreich erkannt und blockiert.
 
FleyerShaver schrieb:
Wenn ich mir deiner log so ansehe würde ich folgendes vermuten. Ein Gast mit dem Namen "generic viagra" hat versucht auf deiner SEite folgenden Code ins GB zu schreiben:
Code: 
 xaxh5yr-rjw1ieb-tw6q23e5-0 var r = document.referrer; document.write('')
ES handelt sich hierbei nur um einen Ausschnitt von dem POST. DAhinter kommen noch Links zu Viagra und Casinoseiten. Dieses wurde von deinem CMS erfolgreich erkannt und blockiert.
Zum Vergrößern anklicken....

Ganz genau so ist es, siehe mein vorheriger Post ein Stückchen weiter oben :mrgreen:

Habe diese bestätigung auch von einem Contrexx-Mitarbeiter nochmals erhalten.
 
Status
Für weitere Antworten geschlossen.

Neueste Beiträge

Zurück
Oben