it-swarm.com.de

Das Fehlerprotokoll zeigt neugierige Besucher, die versuchen, auf verschiedene Admin-Seiten zuzugreifen

Nachdem auf meiner 404-Seite sehr viele Zugriffe aufgetreten sind, habe ich begonnen, das Fehlerprotokoll meiner Website zu überwachen. Dort habe ich festgestellt, dass es im Laufe des Tages mehrere Versuche gibt, auf Administratorordner und -editoren auf meiner Website zuzugreifen, die ich nicht existiere. Zum Beispiel gibt es Versuche, auf die Admin-Ordner von Word Press und fckeditor zuzugreifen, aber ich habe auch keine.

Überlegen Sie, was ich gegen diese Versuche unternehmen soll und ob sie Anlass zur Sorge geben sollen oder nicht?

Beispiele aus meinem Fehlerprotokoll:

[Mon Jun 23 16:17:17 2014] [error] [client 120.37.236.236] File does not exist: /home/[snipped]/public_html/admin, referer: [snipped].com/admin/editors/fckeditor/editor/filemanager/upload/test.html
[Mon Jun 23 16:16:39 2014] [error] [client 178.158.214.36] File does not exist: /home/[snipped]/public_html/administrator
[Mon Jun 23 16:16:39 2014] [error] [client 178.158.214.36] File does not exist: /home/[snipped]/public_html/wp-login.php
[Mon Jun 23 10:39:13 2014] [error] [client 120.37.236.217] File does not exist: /home/[snipped]/public_html/admin
[Mon Jun 23 08:31:49 2014] [error] [client 27.153.217.87] File does not exist: /home/[snipped]/public_html/fckeditor
[Mon Jun 23 05:34:19 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/editor
[Mon Jun 23 05:34:17 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/admin
[Mon Jun 23 05:34:16 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/FCKeditor
[Mon Jun 23 05:34:12 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/editor
[Mon Jun 23 05:34:10 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/admin
[Mon Jun 23 05:34:06 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/Fckeditor

Weiß endlich jemand, wo ich weitere Informationen über einige der im Fehlerprotokoll von cPanel X gemeldeten Fehler erhalten kann? Ich habe zum Beispiel viele Einträge für

Datei existiert nicht: 405.shtml

ich habe jedoch keine Ahnung, welche Seite oder welcher Link sie generiert hat, daher weiß ich nicht, wo ich die Ursache des Problems beheben soll.

4
Sara C. Schwpz

Es ist unwahrscheinlich, dass dies "Besucher" (echte Personen) sind, es handelt sich jedoch wahrscheinlich um automatisierte Softwaretests auf Schwachstellen in der von Ihrer Website ausgeführten Software. Ich habe diese Art von Anfragen seit Jahren gesehen. Auf meinen Servern werden am häufigsten Anfragen nach WordPress Verwaltungsseiten und Microsoft FrontPage-Erweiterungen gestellt.

Wenn Sie die Software nicht ausführen, sollten diese Anforderungen nur sehr geringe Auswirkungen oder Risiken für Ihre Website haben.

Die Standardempfehlungen zum Schutz Ihrer Software gelten auch für Web-Software: Halten Sie die Software auf dem neuesten Stand. Sicherheitslücken in Content-Management-Systemen werden häufig entdeckt. Mein Webhost bietet mir sogar die automatische Aktualisierung an WordPress, wenn neue Versionen herauskommen.

6

Leider ist die allgemeine Website-Sicherheit für dieses "Pro Webmasters Stackexchange" -Format zu umfassend. Wie Sie damit umgehen, hängt ganz von der Größe Ihres Unternehmens und dem ab, was Sie sichern möchten.

Wenn es sich um eine einfache Website ohne vertrauliche Daten handelt, ignorieren Sie sie einfach und vergewissern Sie sich, dass die Kontrollfelder nur schwer zu finden sind.

Beispiel:

  1. Ändern Sie den Admin-Bereich von website.com/admin zu website.com/schwpzhashkey
  2. Legen Sie in der Webserverkonfiguration IP-Einschränkungen fest, damit das Bedienfeld nur auf bestimmte IP-Adressen zugreifen kann.
2
JMC

Sie haben wahrscheinlich nichts getan. Willkommen in der Welt der Hacker.

Das ist etwas, was ich erforsche.

Es gibt viele Softwarepakete, die für das Querformatieren und Hacken von Websites entwickelt wurden. Der Zugriff für Admin, WordPress und so weiter ist zumindest ein landschaftsgestaltender Versuch, herauszufinden, welche Systeme Sie verwenden und welche Sicherheitslücken für Ihre Site bestehen. Einige Zugriffe können tatsächliche Hackversuche sein.

Bei den von Ihnen bereitgestellten Protokollausschnitten handelt es sich um Landschaftsgestaltungsversuche. Sie versuchen, auf verschiedene mögliche anfällige PHP Software zuzugreifen. Ich sage möglich, weil sie an diesem Punkt versuchen, herauszufinden, was installiert ist. Das ist Schritt 1. Schritt 2 besteht darin, alle von Ihnen installierten Programme auf ihre Version hin zu überprüfen und diese dann mit einer Schwachstellendatenbank zu vergleichen, um festzustellen, welche Schwachstellen sie als Nächstes versuchen können. Schritt 3 sind tatsächliche Hackversuche, unabhängig davon, ob sie erfolgreich sind oder nicht.

Meist handelt es sich dabei um Trojaner-Software von Systemen, die kompromittiert wurden. Der Hacker arbeitet über einen anonymen Proxy, um diesen Trojanern Hack-Befehle/-Code zu erteilen.

Ich rate Ihnen dringend, Ihre Protokolldateien im Auge zu behalten und Domainnamen und IP-Adressen sofort zu sperren.

Update: Ich musste früher weglaufen - einer meiner Bauunternehmer war früh aufgetaucht.

Es gibt einige Sicherheitstools, aber für Webserver ist mod_security anscheinend am besten unter https://www.modsecurity.org/ zu finden. Ich werde gleich darauf zurückkommen.

Der Rat, Ihre Software häufig zu aktualisieren, ist nicht immer gut. Neue Installationen können neue Sicherheitslücken eröffnen. Ironischerweise können die sichereren Installationen ältere sein. Beispiel: Die Sicherheitsanfälligkeit in Heart Bleed beruht auf einem kürzlich durchgeführten Update. Wenn Sie jedoch nicht sofort ein Update durchgeführt haben, liegt keine Sicherheitsanfälligkeit vor. Ein weiteres Beispiel sind ältere Installationen von RedHat 6.2 mit Apache 1.2, die nicht wie neuere Installationen gefährdet zu sein scheinen. Sie müssen dies von Fall zu Fall prüfen. Ein umfassendes Update Ihrer Software kann einen gefährlichen Ratschlag darstellen. Hacker suchen fast immer nach aktuellen oder wahrscheinlich noch installierten Sicherheitslücken. Es gibt eine Sicherheitsansicht im Stil eines beweglichen Fensters. Da neuere Versionen der Software herauskommen, ist es weniger wahrscheinlich, dass ältere gehackt werden.

Alles in allem ist es jedoch ratsam, vor der Installation eines Updates alle Softwareaktualisierungen im Auge zu behalten und zu überprüfen, ob auf Ihrem System eine Sicherheitsanfälligkeit vorliegt. Es ist oft ratsam, ein Update aufzuschieben, wenn aus Sicherheits- oder Feature-Sicht nichts zu beheben ist. Machen Sie es sich zur Gewohnheit, nach Updates und Schwachstellen zu suchen. Der beste Weg, dies zu tun, ist zu überprüfen, ob http://web.nvd.nist.gov/view/vuln/search?execution=e2s1 von Zeit zu Zeit (tatsächlich häufig) vorhanden ist Probleme. Es gibt irgendwo eine E-Mail-Liste, die ich zu finden versuche. Die E-Mail-Liste hält Sie sofort auf dem Laufenden. Mit der Webadresse finden Sie alle bekannten Details. Installieren Sie auch hier nur Updates, die anfällig sind oder benötigt werden.

Zurück zu mod_security. Mod_security ist wie eine WWW-Firewall. Es kann die meisten, wenn nicht alle Hackversuche blockieren, aber Sie müssen es pflegen. Es ist ratsam, eine solche Software zu installieren, um zu verhindern, dass die Angriffsversuche Ihren Webserver erreichen. Sie können auch einen HTTP-Filter in Ihrer Firewall verwenden, falls Sie einen haben. Wenn Sie mit regulären Ausdrücken vertraut sind, ist dies eine sehr leistungsfähige Option für Sie. Der Punkt ist, der Hack sollte nicht auf Ihren Webserver, PHP, PHP Anwendung gelangen. Mod_security ist eine weitaus leistungsstärkere Option als die Aktualisierung mehrerer PHP Anwendungen, PHP, da sie herauskommen. Dies ist mit Abstand die am häufigsten gehackte Plattform, die es gibt. Tatsächlich ist PHP ein Lehrbuch, was nicht zu tun ist, wenn eine sichere Softwareplattform geschrieben wird.

Denken Sie daran, das ist es, was ich für meinen Lebensunterhalt und für eine lange Zeit für alle großen Telekommunikations- und Forschungsunternehmen für Sicherheitsprotokolle für die Infrastruktur der Nationen tue. Achten Sie auf die Sicherheit, wenn nicht jeden Tag, mehrmals pro Woche, und richten Sie Warnungen für Ankündigungen ein, wo Sie können.

2
closetnoc

Ich habe das gleiche Problem, also habe ich eine benutzerdefinierte 404-Seite geschrieben, die die angeforderte URL analysiert und dann anhand der von mir ausgewählten Muster (aus meinen Protokolldateien) entweder die Standard-404-Seite anzeigt oder ihre IP-Adresse einer zuvor überprüften Datei hinzufügt Alle meine Seiten werden angezeigt. Wenn sie das nächste Mal versuchen, auf eine Seite auf meiner Website zuzugreifen, werden sie einfach zu ihrer eigenen IP-Adresse zurückgeleitet. Es ist eine schnelle und schmutzige Lösung, aber es hindert sie daran, nach nur ein oder zwei Versuchen mehr in mein System zu sehen als nach Tausenden.

1
user43168

Ich leite diese Angriffsseiten wie "wp-login.php" auf unsere Sicherheitsseite um.

1
Joe

Ich bekomme viele davon auf meiner Seite. Da ich bereits über ein System verfüge, mit dem ich IP-Adressen in meiner Firewall schnell und einfach von PHP aus blockieren kann, habe ich 7 Tage lang damit begonnen, Personen zu blockieren, die eine dieser URLs aufrufen.

Wenn Sie ein solches System nicht herstellen können oder möchten, können Sie auch verschiedene Techniken ausprobieren, um die verwendete Bandbreite zu verringern. Natürlich würden Sie sich nur darum kümmern wollen, wenn Sie Tausende dieser Treffer pro Tag bekommen würden. Sie könnten eine Liste mit "ungültigen URLs" führen und auf Ihrer 404-Seite nachsehen, ob die tatsächlich angeforderte URL auf der Sperrliste steht. Und wenn ja, "Ausfahrt"; sofort ohne irgendwelche Daten zu senden. Dies wäre für eine Handvoll Treffer pro Tag ziemlich sinnlos, aber keine schreckliche Idee, wenn Sie Tausende bekommen.

Da ich meine Blacklist bereits in MySQL habe, habe ich eine zweite Tabelle für unbekannte 404s erstellt. Jede angeforderte URL, die eine 404 ist und nicht in meiner Blacklist enthalten ist, wird dieser Liste hinzugefügt. Auf diese Weise kann ich beobachten, welche URLs angefordert werden und wie oft. Wenn etwas viele Treffer bekommt, kann ich es auf die schwarze Liste setzen und tschüss.

0
l008com