• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Logs

Asterixus

Asterixus

Aktives Mitglied
Als ich vor einer Woche meine access.log-Datei von Apache htttpd angeschaut habe, habe ich etwas mehr als Seltsames entdeckt.

Code: 
(...)
194.110.67.94 - - [08/Feb/2011:11:17:44 +0100] "GET //phpmyadmin/ HTTP/1.1" 404 209
194.110.67.94 - - [08/Feb/2011:11:17:44 +0100] "GET //phpMyAdmin/ HTTP/1.1" 404 209
194.110.67.94 - - [08/Feb/2011:11:17:44 +0100] "GET //MyAdmin/ HTTP/1.1" 404 206
194.110.67.94 - - [08/Feb/2011:11:17:44 +0100] "GET //myadmin/ HTTP/1.1" 404 206
194.110.67.94 - - [08/Feb/2011:11:17:44 +0100] "GET //pma/ HTTP/1.1" 404 202
194.110.67.94 - - [08/Feb/2011:11:17:45 +0100] "GET //mysql/ HTTP/1.1" 404 204
116.50.136.66 - - [08/Feb/2011:11:24:05 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226
116.50.136.66 - - [08/Feb/2011:12:37:46 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 404 217
116.50.136.66 - - [08/Feb/2011:12:37:46 +0100] "GET /phpMyAdmin/main.php HTTP/1.0" 404 217
116.50.136.66 - - [08/Feb/2011:12:37:47 +0100] "GET /db/main.php HTTP/1.0" 404 209
116.50.136.66 - - [08/Feb/2011:12:37:48 +0100] "GET /web/main.php HTTP/1.0" 404 210
116.50.136.66 - - [08/Feb/2011:12:37:48 +0100] "GET /PMA/main.php HTTP/1.0" 404 210
116.50.136.66 - - [08/Feb/2011:12:37:49 +0100] "GET /dbadmin/main.php HTTP/1.0" 404 214
116.50.136.66 - - [08/Feb/2011:12:37:50 +0100] "GET /PMA2006/main.php HTTP/1.0" 404 214
116.50.136.66 - - [08/Feb/2011:12:37:50 +0100] "GET /pma2006/main.php HTTP/1.0" 404 214
116.50.136.66 - - [08/Feb/2011:12:37:51 +0100] "GET /sqlmanager/main.php HTTP/1.0" 404 217
(...)
Und das obwohl ich keinen DynDNS oder Ähnliches nutze. Die Liste der "bösen" Zugänge ist in dem Format 3 MB lang.
Meine Frage ist, ob man sich gegen sowas schützen kann oder das als triste Wahrheit hinnehmen muss.
 
Werbung:
Ich nehme an, du willst Zugriff von Außen erlauben? Dann weiß ich kein wirklich hilfreiches Mittel. (Muss aber nichts heißen. Vielleicht wird irgendwo ein Blacklist-Index geführt oder so.) Andernfalls eben Einstellungen in Router/Firewall/Apache, die Ports blocken oder nur lokale IPs zulassen oder ähnliches.

Wahrscheinlich lohnt es sich für diese Leute, einfach stumpf IP-Ranges durchzuprobieren. Manche Server sind deshalb so konfiguriert, nicht auf PINGs zu antworten, aber das ist natürlich nichts, auf das ein Angreifer nicht auch käme. *schulterzuck*
 
Die IP vorne tut nichts zur Sache, es geht denjenigen um die aufgerufene URL, also das "//phpmyadmin/" etc. Dadurch versuchen diejenigen an bestimmte Software-Produkte unter diesen URLs heranzukommen und dadurch noch verschiedene bekannte Sicherheitslücken durchzuprobieren. Das läuft meist automatisch anhand von Bug-Listen ab und wird von Maschinen durchgeführt, daher auch so viele Aufrufe in kurzen Abständen.

Das ist auch nicht weiter problematisch solange Du darauf achtest aktuelle Software zu verwenden (insbesondere phpmyadmin) und diese auch entsprechend abzusichern (htaccess).
 
Werbung:
Ich meinte, so kommen die Angreifer auf Asterixus' IP. Sie scannen einfach einschlägige Ranges durch und gucken, was so antwortet.
 
Danke ihr beiden, da waren meine Befürchtungen wohl wahr. Die Dreistigkeit der Menschen hat wohl keine Grenzen.
 
Werbung:
Gegen die Annahme der Anfragen durch den Webserver kannst du natürlich nichts machen, es sei denn, du bist Server Admin (Firewall, IP-Block oder sowas). Ich hatte vor einer Weile das Problem, dass ein Angreifer alle paar Minuten Werbeeinträge in mein Gästebuch gemacht hat. Die Angriffe kamen immer von einer handvoll gleicher Server. Ich hab dann einfach in den PHP-Scripts diese Liste manuell gepflegt und breche die Verarbeitung mit Code 403 Forbidden ab, wenn eine IP aus der Blacklist eine Anfrage macht.
 
=D Waren immer verschiedene IPs. Mittlerweile habe ich noch seltsamere Logs.

Code: 
83.200.129.106 - - [10/Jun/2011:16:37:43 +0200] "\xabY\xde\x8a\x15\xedn\xc5\xf3\xe3\xae\xb5N\xb6J\x1d\xb7\xf3\\v[\x17eYn\x12N\xd62*\xee\xd1\xf9\xa71\xec\x86K\xd98Q1\xa4V\xc2\x8d\xeea\xb1" 501 261
90.194.222.4 - - [13/Jun/2011:14:54:13 +0200] "\xc8\xf8\xf4A\xc7\xaa\x8a\x83O\xabt\xc4aM\xed\xd7\x96^%\xf9\x9c\xfdwM\xa0M4Y\xb0" 400 226
87.63.43.156 - - [17/Jun/2011:10:47:24 +0200] "\x93n\xe5\x93\xd2J\xcbG(,\xeae\xa3\x0c\x03\xda" 400 226

'ne Ahnung, was die damit erreichen wollen?
 
Mit sowas simplen wie DenyHosts (sofern Linux, keine Ahnung ob das auf Windows portiert wurde) kannst du sowas möglicherweise abmildern, nämlich indem du solche IPs aus dem Netzwerk bekommst bzw. nach zu vielen 404's einfach blockst. Gefahr ist dabei natürlich, dass manche versehentlich ausgeschlossen werden könnten.
 
Werbung:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben