jogiebaer1000
28.02.06, 19:06
Ich erhalte in letzter Zeit sehr viele Search und POST Requests -
wahrscheinlich von Hackern. Außerdem werden regelmäßig meine Ordner
nach PHP, SQL ect. durchsucht.
Solch Zugriffe machen inzwischen fast die Hälfte meiner Logeinträge aus.
bitte schauen sie sich einmal diese erfolgreichen Zugriffe auf AWstats an:
GET // adm/awstats/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compati....
GET // cgi-local/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatibl....
GET // estadisticas/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compat
GET // estadisticas/cgi-bin/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0
GET // usage/awstats. pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatible;
GET // webstats/ awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatibl
GET //admin/ awstats.pl HTTP/1.1" 200 3759 "-" "Mozilla/4.0 (compatible;
außerdem erfolgreich waren z.b.
OPTIONS / HTTP/1.1" 200 187 "-" "Microsoft-WebDAV-MiniR..
PROPFIND /alice HTTP/1.1" 301 540 "-" "Microsoft-WebDAV...
Es erfolgten auch einige Zugriffe auf externe IPs. Ist der Server
eventuell als Proxy benutzt worden?
GET http://www.k5.ru/ HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatib....
GET http://www.intel.com/ HTTP/1.1" 200 677 "-" "Mozilla/4.0 (comp....
In den Fehler-Logs sehe ich regelmäßig solche Einträge, die anzeigen,
daß systematisch nach speziellen Datein gesucht wird. Vieleicht läßt
sich ja der Zugriff auf httpdocs irgendwie verhindern?
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.5.4....
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.5.1....
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.2.3
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.2.6
/home/httpd/vhosts/wonderland.com/httpdocs/myadmin
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.0
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.0-pl1
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.3-pl1
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.3
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.3-rc1
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.2-rc1
Und dann gibt es noch erfolglose Versuche mit SEARCH Anfragen. Es
werden riesige Strings wie zb.: "....x04H\x04H...."
"x90\x90\x90....." gesendet. Sofort danch kommt eine POST Anfrage, zum
Glück mit einer Fehlermeldung.
Wie schätzen Sie insbesondere die erfolgreichen Zugriffe auf Awstas
ein? (bzw. WebDav)
Am liebsten wäre mir wenn außschließlich die normalen Web Dateien
zugänglich sind. Alle anderen Dateien unter /home oder /httpdocs
sollten generell gesperrt sein. Wäre das machbar?
wahrscheinlich von Hackern. Außerdem werden regelmäßig meine Ordner
nach PHP, SQL ect. durchsucht.
Solch Zugriffe machen inzwischen fast die Hälfte meiner Logeinträge aus.
bitte schauen sie sich einmal diese erfolgreichen Zugriffe auf AWstats an:
GET // adm/awstats/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compati....
GET // cgi-local/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatibl....
GET // estadisticas/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compat
GET // estadisticas/cgi-bin/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0
GET // usage/awstats. pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatible;
GET // webstats/ awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatibl
GET //admin/ awstats.pl HTTP/1.1" 200 3759 "-" "Mozilla/4.0 (compatible;
außerdem erfolgreich waren z.b.
OPTIONS / HTTP/1.1" 200 187 "-" "Microsoft-WebDAV-MiniR..
PROPFIND /alice HTTP/1.1" 301 540 "-" "Microsoft-WebDAV...
Es erfolgten auch einige Zugriffe auf externe IPs. Ist der Server
eventuell als Proxy benutzt worden?
GET http://www.k5.ru/ HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatib....
GET http://www.intel.com/ HTTP/1.1" 200 677 "-" "Mozilla/4.0 (comp....
In den Fehler-Logs sehe ich regelmäßig solche Einträge, die anzeigen,
daß systematisch nach speziellen Datein gesucht wird. Vieleicht läßt
sich ja der Zugriff auf httpdocs irgendwie verhindern?
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.5.4....
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.5.1....
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.2.3
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.2.6
/home/httpd/vhosts/wonderland.com/httpdocs/myadmin
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.0
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.0-pl1
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.3-pl1
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.3
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.3-rc1
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.2-rc1
Und dann gibt es noch erfolglose Versuche mit SEARCH Anfragen. Es
werden riesige Strings wie zb.: "....x04H\x04H...."
"x90\x90\x90....." gesendet. Sofort danch kommt eine POST Anfrage, zum
Glück mit einer Fehlermeldung.
Wie schätzen Sie insbesondere die erfolgreichen Zugriffe auf Awstas
ein? (bzw. WebDav)
Am liebsten wäre mir wenn außschließlich die normalen Web Dateien
zugänglich sind. Alle anderen Dateien unter /home oder /httpdocs
sollten generell gesperrt sein. Wäre das machbar?