[gelöst] Unbererechtiger Zugang zur Web-Site

Smalltalk
TomL

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von TomL » 05.07.2020 16:02:43

thoerb hat geschrieben: ↑ zum Beitrag ↑
05.07.2020 15:55:02
Ich würde trotzdem mal prüfen, ob sich diese *.db Datei mit PHP-Code direkt auf dem Server ausführen lässt.

Sorry... aber da reichen meine php-Kenntnisse nicht aus. Wie kann ich denn diese Datei versuchsweise an den PHP-Interpreter als (scheinbar) ausführbare Datei übergeben? Mit der Extension '.db' und ohne Shebang wird die doch von alleine gar nicht als php-Script erkannt.

JTH
Moderator
Beiträge: 3015
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von JTH » 05.07.2020 16:07:16

Im Zweifelsfall einfach im Browser aufrufen, z.B.:

Code: Alles auswählen

http://example.org/visitors/2020-07-ViewCounts.db
Das hast du durchs Deny from all aber nun wohl unterbunden.

Noch als Ergänzung, basierend auf meiner auffrischenden Lektüre vorhin zu PHP: Null-Bytes in Dateipfaden scheinen auch nen beliebtes Loch zu sein. Wenn du in deinem zweiten Skript etwa aus dem vom Benutzer kommenden Dateipfad (du schriebst etwas von Downloads) – ungefiltert – einen neuen konstruierst, könnte man da anscheinend evtl. beliebige Dateien schreiben.
Manchmal bekannt als Just (another) Terminal Hacker.

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von thoerb » 05.07.2020 16:12:26

Code: Alles auswählen

<?php echo "Test"; ?>
In der Datei einfügen sollte reichen. Dann kannst du die Datei mit php *.db aufrufen.

Eine Shebang wird eigentlich nicht benötigt? Aber selbst wenn, könnte die der Angreifer ja auch rein schreiben.

TomL

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von TomL » 05.07.2020 17:54:07

JTH hat geschrieben: ↑ zum Beitrag ↑
05.07.2020 16:07:16
Im Zweifelsfall einfach im Browser aufrufen, z.B.:
Das habe ich natürlich getestet... und das funktioniert jetzt nicht mehr. Infolgedessen kann das
thoerb hat geschrieben: ↑ zum Beitrag ↑
05.07.2020 16:12:26

Code: Alles auswählen

<?php echo "Test"; ?>
In der Datei einfügen sollte reichen. Dann kannst du die Datei mit php *.db aufrufen.
jetzt also auch nicht mehr funktionieren.

Aber im Rückblick, nach 'ner langen Kaffeepause, komme ich nicht umhin festzustellen, dass man alleine und als Laie mit dem Wissen der Hacker hoffnungslos überfordert ist. Insofern bin ich -auch rückblickend- mit meiner Entscheidung zufrieden, alle Zugänge zu heimischen Web-GUI-Schnittstellen, Web-Server, den zwei Mailserver-Prozessen oder allgemein ins LAN ausschließlich und rigoros auf das LAN zu begrenzen.

Ich bin jetzt fast davon überzeugt, dass vermutlich die meisten Laien-Web-Server-Admins ("ich bin ganz neu bei Linux und finde das echt super und habe gestern meinen Raspi zum ersten mal gestartet, wo finde ich eigentlich die config von meinem Sioux-Webserver, damit ich von unterwegs darauf zugreifen kann") nicht mal mitkriegen, wenn ihr ganzes Netzwerk von irgendwem übernommen wird. Und gleichzeitig wird von Antiviren-Software gelabert, oder wie man alles Surfen aller Clients via VPN-Provider einrichtet, wo man die Logs für fail2ban findet und ca. 85 Postings benötigt, um dem NIC 'ne Static-IP zu verpassen. Für mich ist hier ein Punkt erreicht, wo mich die Realität des Bösen-aus-dem-Web echt frustriert.

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von thoerb » 05.07.2020 18:30:50

TomL hat geschrieben: ↑ zum Beitrag ↑
05.07.2020 17:54:07
JTH hat geschrieben: ↑ zum Beitrag ↑
05.07.2020 16:07:16
Im Zweifelsfall einfach im Browser aufrufen, z.B.:
Das habe ich natürlich getestet... und das funktioniert jetzt nicht mehr. Infolgedessen kann das
thoerb hat geschrieben: ↑ zum Beitrag ↑
05.07.2020 16:12:26

Code: Alles auswählen

<?php echo "Test"; ?>
In der Datei einfügen sollte reichen. Dann kannst du die Datei mit php *.db aufrufen.
jetzt also auch nicht mehr funktionieren.
Korrigiert mich bitte, wenn das falsch sein sollte, aber mit htaccess kontrollierst du doch meines Wissens nur den Zugriff über http. Lokal sollte das noch ausführbar sein, wenn die Dateirechte dafür gegeben sind.

TomL

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von TomL » 05.07.2020 18:41:46

thoerb hat geschrieben: ↑ zum Beitrag ↑
05.07.2020 18:30:50
Korrigiert mich bitte, wenn das falsch sein sollte, aber mit htaccess kontrollierst du doch meines Wissens nur den Zugriff über http. Lokal sollte das noch ausführbar sein, wenn die Dateirechte dafür gegeben sind.
Vielleicht habe ich das missverstanden.... lokal kann ich das nicht ausführen, weils bei mir keinen lokalen php-Interpreter gibt. Ich müsste das also schon remote auf dem Web-Space-System mit dessen PHP ausführen ... aber da weiß ich nicht, wie das anders als via http gehen soll... und http ist ja jetzt unterbunden.

Nachtrag:
Ich habe zum Testen eine der DB-Files nach vorne (www) kopiert und als erstes das php-Statement eingefügt.
  • Mit der Extension '.db'' wird die erste Zeile (das statement) übersprungen und der restliche Inhalt als Text ausgegeben.
  • Mit der Extension '.php'' wird das Statement ausgeführt und der restliche Inhalt wie zuvor als Text ausgegeben.
Soweit es also die Extension ".db" angeht, betrachte ich das als örtliches Verhalten dieses Web-Servers.... ob das allerdings generell so ist ...?... keine Ahnung... vielleicht führen andere Maschinen das trotzdem aus.... :roll:

JTH
Moderator
Beiträge: 3015
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von JTH » 05.07.2020 23:27:13

TomL hat geschrieben: ↑ zum Beitrag ↑
05.07.2020 17:54:07
Ich bin jetzt fast davon überzeugt, dass vermutlich die meisten Laien-Web-Server-Admins ("ich bin ganz neu bei Linux und finde das echt super und habe gestern meinen Raspi zum ersten mal gestartet, wo finde ich eigentlich die config von meinem Sioux-Webserver, damit ich von unterwegs darauf zugreifen kann") nicht mal mitkriegen, wenn ihr ganzes Netzwerk von irgendwem übernommen wird.
Ja, da hast du sicherlich recht. Leute, die sich unerfahren ihren eigenen Root-Server o.ä. aufsetzen, bekommen ja hier im Forum und anderswo auch (nicht umsonst) regelmäßig kopfschüttelnde und kritische Reaktionen.
Manchmal bekannt als Just (another) Terminal Hacker.

TomL

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von TomL » 11.07.2020 18:11:16

Moin

Mein Monitoring funktioniert anscheinend. Ich habe heute morgen meine erste Mail bekommen. Die erste Nachricht, dass der Inhalt geändert wurde, ist soweit in Ordnung... beim Vergleich von gestern und vorgestern fehlten 2 Dateien, die ich gestern manuell von Hand gelöscht habe.... also soweit ok. Das jetzt beide Prüfungen eine Meldung beinhalten, ist also nur ein zufälliges gemeinsames Ereignis. Aber ich kann die beiden Schreibzugriffe (Log-Auszug) nicht einordnen, ich sehe da gar keinen Inhalt, wie muss man das interpretieren?

Beim Vergleich mit älteren Meldungen mit Inhalt sehe ich immer die Server-Antwort 404, also abgewiesen. Aber bei diesen 2 Kandidaten antwortet der Server 200, also OK. Nummer 1 ist Versatel, Nummer 2 ist Microsoft... also nicht die typischen Hacker. Meine Web-Site hat mit beiden nix zu tun... was tun die da ...?...ich bin jetzt nicht beunruhigt, aber doch einigermaßen ratlos. :roll:

Code: Alles auswählen

11-07-2020-01:00 Caution! Web-Space-Content was changed
11-07-2020-01:00 Caution! Write-Access to Web-Space found

89.245.101.0 - - [10/Jul/2020:02:29:00 +0200] "POST / HTTP/1.1" 200 116337 "-" "curl/7.64.0"
51.140.251.0 - - [10/Jul/2020:08:53:15 +0200] "POST / HTTP/1.1" 200 14559 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36"

DeletedUserReAsG

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von DeletedUserReAsG » 11.07.2020 20:08:52

Microsoft mag Bingbot sein – wobei der sich eigentlich im Useragent zu erkennen gibt. Vielleicht jemand, der deren Clouddienste nutzt ….

Ansonsten sehe ich da nun nix, was irgendwie Fragen aufwerfen sollte.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von eggy » 11.07.2020 21:53:49

TomL hat geschrieben: ↑ zum Beitrag ↑
11.07.2020 18:11:16
Aber ich kann die beiden Schreibzugriffe (Log-Auszug) nicht einordnen, ich sehe da gar keinen Inhalt, wie muss man das interpretieren?
Ich versteh den Satz so, dass Du glaubst, dass "POST" als Schreibzugriff zu verstehen ist?

Schau Dir nochmal die Literatur an.

GET: The GET method requests a representation of the specified resource. Requests using GET should only retrieve data.
POST: The POST method is used to submit an entity to the specified resource, often causing a change in state or side effects on the server.

"should", nicht "must"; "often" nicht "everytime". Und https://tools.ietf.org/html/rfc1945#section-8 sagt auch, nur der Server entscheidet, was passiert:
The actual function performed by the POST method is determined by the server and is usually dependent on the Request-URI.

Wenn man es genauer wissen will, HTTP ist in den entsprechenden RFCs beschrieben. Fang beim Lesen ruhig mit dem veralteten HTTP/1.0 an, RFC 1945. Das benutzt so heute zwar hoffentlich niemand mehr, aber darauf baut der ganze moderne Krempel auf. Beim Lesen aber nicht vergessen: HTTP ist später noch (mehrfach) erweitert/geändert worden. HTTP 1.1 in RFC 2616, welches dann in mehrere andere RFCs aufgetrennt bzw durch andere ersetzt wurde. Welche RFCs das sind, steht dann meist oben im RFC (updated by/obsoleted by) . Weitere relevante RFCs, falls Dich das Thema tiefer interessiert, einfach mal selber suchen.

Wenn Du mal selbst probieren willst, Telnet eignet sich super, um Einträge in den eigenen Logs zu provozieren:
Verbindung zum Server aufbauen und HTTP Kommandos absetzen.

Code: Alles auswählen

telnet example.com 80
Dann mit dem Server sprechen, dazu drei Zeilen Text absenden:

Code: Alles auswählen

GET / HTTP/1.1
HOST: example.com

Die zusätzliche Leerzeile ist wichtig, damit bekommt die Gegenseite mit, dass wir fertig gefragt haben.
Als Antwort gibts sowas wie: HTTP/1.1 200 OK und den Inhalt der Webseite.
Wenn Du jetzt statt GET einfach mal POST versuchst, gibts erstmal "HTTP/1.1 411 Length Required" zurück. Liegt daran, dass der Standard sagt, dass man bei dieser Methode die Länge der Daten mitliefern muss. Kein Problem, schicken wir die eben auch noch mit:

Code: Alles auswählen

POST / HTTP/1.1
HOST: example.com
Content-Length:0

Leerzeile nicht vergessen. Und schon gibt es das erwartete "HTTP/1.1 200 OK" sowie den Rest.

TomL

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von TomL » 12.07.2020 10:14:01

eggy hat geschrieben: ↑ zum Beitrag ↑
11.07.2020 21:53:49
Ich versteh den Satz so, dass Du glaubst, dass "POST" als Schreibzugriff zu verstehen ist?
Ja, das ist richtig... ich hatte das als Befehl für einen Versuch verstanden, 'etwas' hochzuladen, was ja -wenns erfolgreich war- zwangsläufig ein erfolgreicher Schreibversuch wäre. Der Hintergrund für diese Annahme war die gefundene Fremddatei "maindi.php", die musste ja irgendwie hochgeladen und gespeichert resp. auf dem Speicher geschrieben worden sein. Aber scheinbar steckt mehr hinter dem POST und 'entity' muss scheinbar nicht immer zwingend eine hochzuladene Datei sein.

Ich bin einfach davon ausgegangen, dass POST das passende Schlüsselwort wäre, um beim automatischen Prüfen der Logs auf solcherart Aktivitäten aufmerksam zu werden.

Code: Alles auswählen

telnet example.com 80
Die Telnet-Beispiele konnte ich alle nachvollziehen... wirklich sehr interessant. Ich weiß nur immer noch nicht, welchen Zweck solche im Log gefundenen Connects haben. Ist das vielleicht sowas wie "website, lebst du noch?".
niemand hat geschrieben: ↑ zum Beitrag ↑
11.07.2020 20:08:52
Ansonsten sehe ich da nun nix, was irgendwie Fragen aufwerfen sollte.
Das war leider mein persönliches großes Problem... wenn man mangels bisheriger Berührungspunkte nicht mal einschätzen kann, ob man überhaupt eine Frage stellen muss. Ich war jetzt eher auf der Suche nach einer Antwort für "Muss ich mal nach passenden Fragen suchen und mich ggf. um Lösungen kümmern?"

Aber scheinbar sind solche Vorfälle i.ü.S. auch nichts anderes/bedeutsameres, als das tägliche obligatorische gehämmere auf meinen VPN-Port zuhause, wo auch alle Versuche sterben. Aber die POST-Einträge werde ich trotzdem im Auge behalten.

Danke für die Aufklärung! :THX:

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von eggy » 12.07.2020 12:47:41

Stell Dir POST und GET einfach als Brief und Postkarte vor, zwar nicht das selbe, aber beide können Anweisungen an den Empfänger enthalten etwas zu tun, "Hallo webserver, erstelle mal folgende Datei ...". Im einem Fall kann der Briefträger einfach mitlesen, im anderen nicht (Parameter, wie z.B. hier im Forum die Topic-ID: im einen Fall in der Statusleiste des Browsers "sichtbar", im anderen Fall "versteckt", dafür das "Content-Lenght" beim POST).
Post ist genau so un-/gefährlich wie Get. Wenn der Server auf "komische Anfragen" im Sinne der Angreifer reagiert, ist es völlig egal, wie die Daten dahin kamen. Ist wie die Frage, ob der Bankräuber mit der U-Bahn oder dem Bus zur Filiale kam, am Ende ist er mit dem Geld davon.

Ganz grundsätzlich steht in den gezeigten Logs ja nur "irgendwer wollte irgendwas von uns und wir haben (200 OK) oder haben nicht (z.B. 404 Not Found ) getan was der wollte", also Informationen zur Verbindung. Relevant ist viel mehr, der Fall "irgendwer wollte, dass wir xyz in die Datei malen, und das haben wir getan". Das steht im geposteten Abschnitt nämlich nicht. Was so ein Szenario angeht, bist Du aber mit dem Überwachen der Dateien vermutlich schon ganz gut dabei.

Wenn Du Dich weiter mit der Materie beschäftigen willst, schau mal, was man im benutzten Webserver noch alles so loggen kann. Und komm dann auch schnell zu dem Schluss, dass Du das alles vermutlich auch alles gar nicht loggen darfst (Datenschutz). :mrgreen:

TomL

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von TomL » 12.07.2020 14:34:21

eggy hat geschrieben: ↑ zum Beitrag ↑
12.07.2020 12:47:41
Wenn Du Dich weiter mit der Materie beschäftigen willst, schau mal, was man im benutzten Webserver noch alles so loggen kann. Und komm dann auch schnell zu dem Schluss, dass Du das alles vermutlich auch alles gar nicht loggen darfst (Datenschutz).
Das ist leider nicht so einfach möglich, weil das ja nicht mein Webserver ist... also in dem Sinne, wie manche das vielleicht auf einem Vserver (o.ä.) mit einem eigenen Apache einrichten. Wegen meines Eingeständnisses, bei dieser speziellen Materie quasi völlig ahnungslos zu sein und den realen Risiken bei Admin-Fehlern, habe ich mich nie daran getraut, einen eigenen im öffentlichen Netz erreichbaren Webserver in Betrieb zu nehmen. Das ist ja nicht gerade die Ausnahme, das hier im Forum genau davor gewarnt wird... ich bin halt ein folgsamer forendianer :-)

Es handelt sich also einfach nur um (m)einen Webspace-Hoster, der mir Speicherplatz und die Web-Domain hostet. Ich kopiere da lediglich via ssh meine html-Files hin und es läuft. Ich wüsste gar nicht, ob ich in den Settings meines Kundenkontos wirklich echten Einfluss auf das Geschehen des Webservers nehmen kann. Sowas wie ein Settings-File oder eine Conf für den Web-Server stehen mir meiner Meinung nach gar nicht zur Verfügung. :roll:

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von eggy » 12.07.2020 15:04:38

TomL hat geschrieben: ↑ zum Beitrag ↑
12.07.2020 14:34:21
Sowas wie ein Settings-File oder eine Conf für den Web-Server stehen mir meiner Meinung nach gar nicht zur Verfügung. :roll:
Vermutlich doch, nennt sich dann meist .htaccess. Darüber kann man oft mehr als als nur die Zugangsberechtigungen steuern ... aber in wie weit der Hoster Dir da Mitbestimmungsrechte eingeräumt hat ... ka, mal mehr, mal weniger. Spricht aber nichts dagegen, sich nen Apachen lokal hinzustellen um sich das mal anzusehen, wenns um den reinen Wissensdurst geht.

TomL

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von TomL » 12.07.2020 15:13:14

:THX:

Hab auf die Schnelle diese Seite gefunden... https://wiki.selfhtml.org/wiki/Webserver/htaccess ... scheint DAU-geeignet zu sein. :mrgreen: Das werde ich mir auf jeden Fall ansehen. Bislang habe ich die .htacces nur für Berechtigungen und Weiterleitungen verwendet... das da noch deutlich mehr drin steckt, war mir nicht bewusst. Und es ist mir allemal wichtig genug, nach diesem einen Vorfall doch noch ein wenig mehr Hintergrundwissen zu sammeln. :hail:

TomL

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von TomL » 24.08.2020 11:51:23

Ist ja spannend, dass ich sogar in China berühmt bin.... :facepalm: .... mein Server hat mich heute morgen nach längerer Zeit mal wieder benachrichtigt:

Code: Alles auswählen

24-08-2020-01:01 Caution! Write-Access to Web-Space found

89.109.35.0 - - [23/Aug/2020:05:21:26 +0200] "POST /openvpn.htmltrackback/ HTTP/1.1" 404 196 "-" "-"
106.12.208.0 - - [23/Aug/2020:10:52:50 +0200] "POST /Config_Shell.php HTTP/1.1" 404 196 "http://www.toml.de/Config_Shell.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:51 +0200] "POST /plus/mytag_js.php?aid=511348 HTTP/1.1" 404 196 "http://www.toml.de/plus/mytag_js.php?aid=511348" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:53 +0200] "POST /config.asp HTTP/1.1" 404 196 "http://www.toml.de/config.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:53 +0200] "POST /inc/config.asp HTTP/1.1" 404 196 "http://www.toml.de/inc/config.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:53 +0200] "POST /config/AspCms_Config.asp HTTP/1.1" 404 196 "http://www.toml.de/config/AspCms_Config.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:54 +0200] "POST /admin/index.asp HTTP/1.1" 404 196 "http://www.toml.de/admin/index.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:54 +0200] "POST /index.asp HTTP/1.1" 404 196 "http://www.toml.de/index.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:55 +0200] "POST /inc/AspCms_AdvJs.asp HTTP/1.1" 404 196 "http://www.toml.de/inc/AspCms_AdvJs.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:56 +0200] "POST /config/AspCms_Config.asp HTTP/1.1" 404 196 "http://www.toml.de/config/AspCms_Config.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:56 +0200] "POST /plug/collect/AspCms_CollectFun.asp HTTP/1.1" 404 196 "http://www.toml.de/plug/collect/AspCms_CollectFun.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:56 +0200] "POST /plus/read.php HTTP/1.1" 404 196 "http://www.toml.de/plus/read.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:57 +0200] "POST /Inc/md5.asp HTTP/1.1" 404 196 "http://www.toml.de/Inc/md5.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:57 +0200] "POST /inc/md5.asp HTTP/1.1" 404 196 "http://www.toml.de/inc/md5.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:57 +0200] "POST /inc/md5.asp HTTP/1.1" 404 196 "http://www.toml.de/inc/md5.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:58 +0200] "POST /inc/md5.asp HTTP/1.1" 404 196 "http://www.toml.de/inc/md5.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
106.12.208.0 - - [23/Aug/2020:10:52:58 +0200] "POST /inc/md5.asp HTTP/1.1" 404 196 "http://www.toml.de/inc/md5.asp" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"

ps
Das mit dem 'berühmt' bitte so nehmen, wie es gedacht war... als satire....

DeletedUserReAsG

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von DeletedUserReAsG » 24.08.2020 16:10:01

Dein Script hat false positives: den Logeinträgen nach versucht da keiner, irgendwas zu schreiben ;)

TomL

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von TomL » 24.08.2020 16:55:32

Ich weiss oder ich vermute das zumindest auch. Aber ich gestehe, dass mir das immer noch alles sehr geheimnisvoll ist... ich kann dafür bei mir einfach keine Leidenschaft wecken, mich da in die Tiefe einzuarbeiten. :roll:

Die Logs enthalten tausende "GET" und manchmal wochenlang kein "POST" ... und dann stolpert mein Server beim nächtlichen Untersuchen über: "POST /Config_Shell.php.... " und da klingeln dann bei mir die Glocken. Entweder will da jemand was raufschieben (ich nenns schreiben) oder irgendwie ein PHP-Script zur Ausführung bringen, in dem dann vielleicht irgend 'ne Lücke auf dem Webserver ausgenutzt wird. Und wenn ich dann den Code 404 lese bin ich erst mal beruhigt. ... es wurde also wohl abgelehnt. Die Überschrift ist halt die Meldung, die mein Server über die Log-Einträge schreibt, damit ich auch wirklich wach werde und einmal ordentlich drüberschaue.

Ich fand jetzt auch eher das aus China kommende Interesse spannend.... und dann gleich etliche Varianten auszuprobieren...naja. Wobei mir allerdings durchaus bewusst ist, dass nicht ich im Fokus bin, sondern das irgend 'ne Liste von Websites von oben runter abgearbeitet wird. Und einmal hatte ich ja schon eine Besucher-Datei, vielleicht ist meine Seite jetzt als Opfer markiert... *lol* .... aber wie auch immer, ich kriegs jetzt schneller mit, als damals.

irgendwas
Beiträge: 278
Registriert: 04.04.2016 18:53:19
Lizenz eigener Beiträge: MIT Lizenz

Re: [gelöst] Unbererechtiger Zugang zur Web-Site

Beitrag von irgendwas » 24.08.2020 19:17:54

Das ist das "Grundrauschen" des Internets - hatte ich auch eine Zeit lang. Seit vor dem Webserver eine IPFire sitzt mit striktem GeoIP-Blocking* + IPS und eine Hand voll Hoster manuell über dieses ASN-Script blockiert wird, ist allerdings Schluss.

*) Die GeoIP Datenbank ist nicht mehr aktuell, wegen Lizenzänderungen seitens Maxmind. Die Jungs und Mädls von IPFire arbeiten aber daran, siehe hier.

Antworten