Hallo,
da das zur Zeit verstärkt vorkommt, aus verschiedenen Ländern:
das sind SQL-Angriffe. Interne Abfragen des shops werden durch das übergebene SQL so ergänzt, dass die Angreifer interne Daten des shops angezeigt bekommen, je nachdem, wie der shop konfiguriert ist. Diese URLs
nicht im Browser ausführen. Im besten Fall seht ihr dabei nämlich, dass ihr bei einem Live-Shop vergessen habt, die Fehlerausgabe abzuschalten.
1. checkt das /export-Verzeichnis. Dort sollten
keine _error_reporting.all oder _error_reporting.dev stehen. Checkt die admin-Mails, ob Datenbankfehler berichtet wurden.
2. so eine URL könnt ihr euch bei Interesse zb in notepad++ ansehen, dort gibt es eine Funktion, um URL-kodierte Texte in was lesbares umzuwandeln (Erweiterungen/MME Tools/URL Decode)
Die URL von Thomas ist das hier
/index.php?language=en UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL#
die können auch so aussehen, das sind timing-Angriffe
/shop_content.php?coID=11' AND BENCHMARK(2999999,MD5(NOW())) AND '1
/shop_content.php?coID=11 '||SLEEP(3)&&'1
Selbst wenn man kein SQL kann, sieht man, dass das keine regulären Aufrufe sind, sondern Angriffe.
3. Sperren. Manuell ein mühsames Geschäft. Ganze Länder zu sperren bringt es nicht, die meisten Angriffe sehe ich aus USA und nicht aus China oder Russland. Ihr könnt natürlich alles außer DE, AT, CH sperren, dann habt ihr ziemlich Ruhe, das wäre die Nordkorea-Variante.
4. User-Agent sperren geht auch schlecht. Einige Bots ja, aber ein User-Agent lässt sich fälschen oder es ist ein x-beliebiger regulärer Browser. So ein Angriff wie der von Thomas berichtete kam über Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/532.2 (KHTML, like Gecko) Chrome/4.0.221.0 Safari/532.2, also vermutlich Firefox o.ä. auf Linux-Rechner.
LG Volker