[Eisfair_dev] Hackeranfragen auf Apache

[Marcus Roeckrath]

Hallo Andreas,

Andreas Lehmler wrote:

> ich beobachte momentan, das andauernt anfrage auf ' image.php ' und '
> wp-login.php ' erfolgen. Ich lass das in einem Log mitschreiben.
> 
> Die ' wp-login.php ' betreffen Wordpresss , was ich aber nicht habe; und
> ne image.php hab ich dort auch ncht liegen.

Die Hacker grasen halt ganze IP-Bereiche ab, um dann irgendwann ein
WordPress zu finden und dann gezielt anzugreifen.

Wenn du es nicht benutzt, bist du auch nicht anfällig, das Treiben der
Hacker wirst du aber nicht unterbinden.

> Desweiteren häufen sich auch die FTP anfrage, mit dennen würde ich gerne
> das gleiche machen ,
> ---
> 
> Auf einem der Server hat es einer geschafft ein ' GET ' abzusetzten

Heisst, er konnte sich an deinem FTP-Server einloggen?

Hast du anonymous Login erlaubt?

> 193.9.158.136 - - [11/Dec/2017:14:51:43 +0100] "GET
> /afe-archiv/i_frames/i_kommentar.php?twg_album=Erwachsene%2FFangergebnisse&twg_show=Claudia%2520Schneider.JPG&twg_submit=true&twg_name=Nlfukhdx&twg_titel=wild+kitten+diarrhea%2C+https%3A%2F

> Ich hab dort die Kommentare abgeschaltet / und das Bild umbennant ; die
> Anfragen kommen aber logicherweise immer weiter :-(

Was hat das eine mit dem anderen zu tun.

Finden die einen offenen Server, suchen sie auch nach möglichen
Schwachstellen.

> Frage : Kann man de IP's irgendwie auswerten

Steht doch in der ersten Spalte des von dir geposteten Logauszugs. Mit

cut -d " " -f 1 <datei>

kannst du die IPs aus dem Log auslesen.

Wie willst du aber berechtigte von unberechtigten Anfragen unterscheiden?

Du brauchst einen nach außen offenen FTP-Server?

Dann musst du auch mit Angriffsversuchen rechnen, die einen ziemlich kalt
lassen, wenn die Software immer auf dem neuesten Stand ist und weiterhin
nur Logins mit starken Passwörtern möglich ist.

-- 
Gruss Marcus