[Eisfair_dev] Hackeranfragen auf Apache
Marcus Roeckrath
marcus.roeckrath at gmx.de
Mi Dez 13 10:59:33 CET 2017
Hallo Andreas,
Andreas Lehmler wrote:
> ich beobachte momentan, das andauernt anfrage auf ' image.php ' und '
> wp-login.php ' erfolgen. Ich lass das in einem Log mitschreiben.
>
> Die ' wp-login.php ' betreffen Wordpresss , was ich aber nicht habe; und
> ne image.php hab ich dort auch ncht liegen.
Die Hacker grasen halt ganze IP-Bereiche ab, um dann irgendwann ein
WordPress zu finden und dann gezielt anzugreifen.
Wenn du es nicht benutzt, bist du auch nicht anfällig, das Treiben der
Hacker wirst du aber nicht unterbinden.
> Desweiteren häufen sich auch die FTP anfrage, mit dennen würde ich gerne
> das gleiche machen ,
> ---
>
> Auf einem der Server hat es einer geschafft ein ' GET ' abzusetzten
Heisst, er konnte sich an deinem FTP-Server einloggen?
Hast du anonymous Login erlaubt?
> 193.9.158.136 - - [11/Dec/2017:14:51:43 +0100] "GET
> /afe-archiv/i_frames/i_kommentar.php?twg_album=Erwachsene%2FFangergebnisse&twg_show=Claudia%2520Schneider.JPG&twg_submit=true&twg_name=Nlfukhdx&twg_titel=wild+kitten+diarrhea%2C+https%3A%2F
> Ich hab dort die Kommentare abgeschaltet / und das Bild umbennant ; die
> Anfragen kommen aber logicherweise immer weiter :-(
Was hat das eine mit dem anderen zu tun.
Finden die einen offenen Server, suchen sie auch nach möglichen
Schwachstellen.
> Frage : Kann man de IP's irgendwie auswerten
Steht doch in der ersten Spalte des von dir geposteten Logauszugs. Mit
cut -d " " -f 1 <datei>
kannst du die IPs aus dem Log auslesen.
Wie willst du aber berechtigte von unberechtigten Anfragen unterscheiden?
Du brauchst einen nach außen offenen FTP-Server?
Dann musst du auch mit Angriffsversuchen rechnen, die einen ziemlich kalt
lassen, wenn die Software immer auf dem neuesten Stand ist und weiterhin
nur Logins mit starken Passwörtern möglich ist.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair_dev