Hackangriff?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
DerH0ns
Beiträge: 61
Registriert: 06.12.2011 19:47:00
Lizenz eigener Beiträge: GNU Free Documentation License

Hackangriff?

Beitrag von DerH0ns » 17.04.2012 19:58:39

Hi
Heute war meine Site für ca 3 min nicht erreichbar.Dannach habe ich in das access log geguckt und mir ist das aufgefallen:

Code: Alles auswählen

203.91.121.70 - - [17/Apr/2012:19:28:49 +0200] "GET //phpmyadmin/ HTTP/1.1" 404 241 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:28:51 +0200] "GET //phpMyAdmin/ HTTP/1.1" 404 241 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:28:52 +0200] "GET //PMA/ HTTP/1.1" 404 236 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:28:52 +0200] "GET //pma/ HTTP/1.1" 404 236 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:28:55 +0200] "GET //admin/ HTTP/1.1" 404 237 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:00 +0200] "GET //dbadmin/ HTTP/1.1" 404 239 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:00 +0200] "GET //sql/ HTTP/1.1" 404 236 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:01 +0200] "GET //mysql/ HTTP/1.1" 404 238 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:02 +0200] "GET //myadmin/ HTTP/1.1" 404 239 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:02 +0200] "GET //phpmyadmin2/ HTTP/1.1" 404 242 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:06 +0200] "GET //phpMyAdmin-2/ HTTP/1.1" 404 243 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:07 +0200] "GET //php-my-admin/ HTTP/1.1" 404 242 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:07 +0200] "GET //sqlmanager/ HTTP/1.1" 404 241 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:08 +0200] "GET //mysqlmanager/ HTTP/1.1" 404 242 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:09 +0200] "GET //p/m/a/ HTTP/1.1" 404 237 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:09 +0200] "GET //PMA2005/ HTTP/1.1" 404 239 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:10 +0200] "GET //pma2005/ HTTP/1.1" 404 239 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:11 +0200] "GET //phpmanager/ HTTP/1.1" 404 240 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:11 +0200] "GET //php-myadmin/ HTTP/1.1" 404 242 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:12 +0200] "GET //phpmy-admin/ HTTP/1.1" 404 242 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:16 +0200] "GET //webadmin/ HTTP/1.1" 404 239 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:17 +0200] "GET //sqlweb/ HTTP/1.1" 404 237 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:18 +0200] "GET //websql/ HTTP/1.1" 404 237 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:20 +0200] "GET //webdb/ HTTP/1.1" 404 237 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:20 +0200] "GET //mysqladmin/ HTTP/1.1" 404 241 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
203.91.121.70 - - [17/Apr/2012:19:29:21 +0200] "GET //mysql-admin/ HTTP/1.1" 404 242 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
Es scheint so als ob da versucht wurde zu prüfen was für Adminpanells ich habe.Wie soll ich jetzt vorgehen? Nix machen oder gibt es gegenmaßnamen für zukunfige angriffe?

Achja, die IP stammt aus China also nix gutes....
Nach oben
DeletedUserReAsG

Re: Hackangriff?

Beitrag von DeletedUserReAsG » 17.04.2012 20:09:33

Ist eigentlich recht normal, und das Durchtesten sollte keine drei Minuten Downtime verursachen. Da würde ich nochmal die anderen Logs durchgehen.

Alleine das, was du da gepastet hast, würde ich noch nicht mal als Angriff werten.

cu,
niemand
Nach oben
Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Hackangriff?

Beitrag von Cae » 17.04.2012 20:26:55

Tja, das ist ein PMA-Scan. Keine Hacker, die den Namen verdient haben, sondern Script Kiddies. Der phpMyAdmin ist wohl häufig ungepatcht, und offensichtlich kusieren Skripte, um nach veralteten Versionen zu scannen. Bei einem Treffer könnte man auf die Datenbank zugreifen und damit allerlei Unsinn anstellen.

Aber wenn die paar Anfragen deine Seite offline nehmen, solltest du dir andere Gedanken machen, und zwar über die Performance deines Hostings.

Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier
Nach oben
Antworten

Zurück zu „Sicherheit“