Seltsame Suchanfragen in "Wer ist online". /root/.ssh/id_rsa, /id_dsa....

[Liezeu]

Hallo,

ich habe seit vorgestern immer wieder diese komischen Anfragen in "Wer ist online".

Siehe Bild im Anhang.

Kennt das jemand? Hab nichts genaueres im Forum gefunden.

Muss ich mir da irgendwelche Sorgen machen?

Daniel

Linkback: https://www.modified-shop.org/forum/index.php?topic=38259.0

[p3e]

Da versucht jemand den Schlüssel zu deinem SSH Zugang zu finden. Wenn alles richtig ist, sollte der nicht im Klartext abrufbar sein. Offensichtlich ist das aber bei manchen so, sonst würde sich niemand die Mühe machen ihn mit wechselnden IP-Adressen zu finden.

[Liezeu]

Hallo p3e,

danke dir für deine Antwort, hatte auch in Goggel was gefunden, konnte aber nichts mit anfangen.

Denke, dann brauch ich mir da keine Sorgen zu machen.
Hab die Adressen auch schon testweise aufgerufen, da werde ich immer zur Sitemap geführt.
Scheint dann alles o,k, zu sein.

Gruß Daniel

[Timm]

Die aufgerufenen Seiten solltest du nie kopieren und dann selber aufrufen. Soll ein Sicherheitsrisiko sein. Stand in einem anderen Thread zu dem Thema. Musst du mal suchen.

Einfach ignorieren. Hab das fast jeden Tag. Mach mir mittlerweile auch nicht mehr die Mühe die auf die Blacklist zu setzen.

[p3e]

Da ging es um den Referer. Den sollst du nicht aufrufen, da der eine “Falle“ sein kann.
Daniel hat aber nur die URL auf seine eigenen Webseite aufgerufen. Wenn das eine Gefahr sein sollte, dann stimmt bereits am Shop etwas nicht.
Mir fällt jedenfalls spontan keine URL ein, mit der der Admin was fatales anstellen kann (wie z.B. jemanden unbewusst zum Admin machen o.ä.).

[Timm]

Laut dieser Antwort von einem Teammitglied sollte man auch nicht die url aufrufen.

Dabei gings aber um sql angriffe.

Das ist überhaupt nicht mein Thema-hatte mir nur gemerkt am besten weder url noch referrer aufzurufen, wenn man nicht genau weiß, was man da tut.

[p3e]

Ja, das stimmt, weil in dem verlinkten Fall URL-kodierte Fragmente vorkamen. Hier geht es in der Regel um SQL-Inkection (sollte ab der Version 2 auch vom Shop abgefangen werden). Man erkennt die URL direkt an den kodierten Zeichen.
Im aktuellen Fall wurden aber bestimmte URLs abgeklopft, in der Hoffnung, da Informationen zum SSH Zugang auf den Server zu erlangen. Das hat mit dem Shop gar nichts zu tun sondern ist eine Lücke, die durch den Server-Admin verursacht wird.

Aber ich gebe dir Recht, dass man bei Zweifel lieber die Finger von der URL lässt.

[Liezeu]

Vielen Dank euch beiden, wieder was dazu gelernt!

Gruß Daniel