[Eisfair] Apache2, unbekannter(?) VHOST angegriffen, BFB griff ein.

[Detlef Paschke]

Hallo,

ich hätte da mal eine Frage zu Apache VHOST, die mich nach einem
erneuten nächtlichen Angriff beschäftigt.
Zunächst, VIEW_DIRECTORY_CONTENT steht generell und überall auf 'no'.

Ich habe auf meinem Apache mehrere VHOST eingerichtet, die auch
öffentlich bekannt sind. Alle diese VHOST sind per http wie auch https
erreichbar und nutzen für https ein gemeinsames Let's Encrypt Zertifikat.

Dann habe ich noch einen VHOST, der nur für mich persönlich ist und den
ich nie irgendwo genannt habe. Dieser VHOST ist ausschließlich per https
erreichbar (APACHE2_VHOST_4_SSL_FORCE='yes'), und hat ein eigenes Let's
Encrypt Zertifikat, um nicht in den Eigenschaften des Zertifikat der
bekannten VHOST gelistet zu werden. Der gesamte VHOST ist über Apache
Passwortgeschützt.

Angriffsversuche habe ich regelmäßig auf die bekannten VHOST aber
bereits zum zweiten mal hatte ich bei einem massiven Angriff über
längere Zeit und wechselnder IP aber ersichtlich dem selbe Ursprung,
auch auf dem VHOST den keiner kennen sollte Angriffe.

Angriffe wurden von BFB immer geloggt.

Das Listen aller VHOST von Apache finde ich zwar als Aufruf für die
Konsole aber nicht als Aufruf von "außen". In den Serverinfos von Apache
werden die VHOST nicht gelistet und DNS-Anfragen zeigen sie auch nicht.

Ich frage mich, woher hat der Angreifer die nirgends bekannte Adresse?
Habe ich irgendwo ein "Schlüsselloch" aufgelassen, durch das man schauen
kann?

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblicks" gibt es nur auf
http://schabau.eu
Meine "Merkzettel"
http://helpdesk.schabau.eu