Hackversuche

[Martin Belz]

Hallo zusammen,

die ist mein erster Besuch in diesem Forum und ich Grüße Euch alle hier herzlichst.
Nun zu meiner Frage:

Ich betreibe seit 2004, Hobbymäßig eine Webseite. Zuletzt nutze ich dazu Joomla. Das CMS hielt ich immer aktuell und achtete immer darauf das alle Sicherheitsupdates installiert wurden. Aufgrund meiner Webseiten Inhalte und sauberen SEO landeten meine Inhalte bei der Google-Suche meistens auf den vorderen Rängen. Ende letzten Jahres stieg der Traffic meiner Webseite sprunghaft an; aufgrund dessen ich meine Logfiles inspizierte.
Bei der Analyse meiner Logfiles konnte ich folgendes feststellen, meine Seite wurde:

mittels Denic abgefragt
den Wert meiner Links über entsprechende Seiten abgefragt
der Pagerank ermittelt
durch Webreputations Seiten abgefragt

Des weitern wurde in dem Zeitraum massiv versucht mein Joomla-Admin-Account zu hacken, jedoch ohne Erfolg da mein Admin Account nicht dem original Login entsprach.
Und es fanden auch andere Hackversuche wie Wordpress-Admin-Account hack und auch SQL-Injections-Versuche statt. Zu dem versuchte mich jemand aus der Ukraine auf meine Telefon zu erreichen.

Aufgrund der Hackangriffen nahm ich das CMS erst einmal vom Netz und stellte eine reine HTML Seite ein. Mit dieser HTML Seite imitiere ich die “offline Seite“ von Jommla ( Header wurde angepasst) und die Seite verfügt auch über ein Login der jedoch ohne Funktion ist; jedoch alles in HTML!!
Die Angriffe bleiben seit ca. ein halben Jahr und werden nun deutlich weniger. Nun finde ich immer häufiger diesen Useragent: Java/1.6.0_04
Und folgende IP Adresse 199.47.211.229 Versucht nun folgende Seitenaufrufe:

/muieblackcat
//index.php
//admin/index.php
//admin/pma/index.php
//admin/phpmyadmin/index.php
//db/index.php
//dbadmin/index.php
//myadmin/index.php
//mysql/index.php
//mysqladmin/index.php
//typo3/phpmyadmin/index.php
//phpMyAdmin/index.php
//phpmyadmin/index.php
//phpmyadmin1/index.php
//phpmyadmin2/index.php
//pma/index.php
//web/phpMyAdmin/index.php
//xampp/phpmyadmin/index.php
//web/index.php
//php-my-admin/index.php
//websql/index.php
//phpmyadmin/index.php
//phpMyAdmin-2/index.php
//php-my-admin/index.php
//phpMyAdmin-2.2.3/index.php
//phpMyAdmin-2.2.6/index.php
//phpMyAdmin-2.5.1/index.php
//phpMyAdmin-2.5.4/index.php
//phpMyAdmin-2.5.5-rc2/index.php
//phpMyAdmin-2.5.5/index.php
//phpMyAdmin-2.5.5-pl1/index.php
//phpMyAdmin-2.5.6-rc1/index.php
//phpMyAdmin-2.5.6-rc2/index.php
//phpMyAdmin-2.5.6/index.php
//phpMyAdmin-2.5.7/index.php
//phpMyAdmin-2.5.7-pl1/index.php

Und diese IP Adresse 38.111.147.84 versucht folgendes : /component/option,com_maxcomment/Itemid,108/cid,66/id,14/task,report/
/component/option,com_maxcomment/Itemid,108/id,64/task,addcomment/


Was haltet ihr von der ganzen Sache?

Vielen dank

Martin

[Malte Landwehr]

Ein paar erfolglose "Hackangriffe" sind ganz normal. Insbesondere, wenn du ein etabliertes CMS verwendest. Stören dich die Angriffe? Verbrauchen sie viel Traffic? Wird die Seite langsam? Wenn ja, sperr die entsprechenden IP-Ranges per htaccess.

[mtx93]

Also, wenn du Joomla sauber aufgesetzt hast, brauchst du es deswegen nicht vom Netz zu nehmen.

Bei den meisten meiner Server kommen solche Angriffe x mal pro Stunde vor.
Das sind die üblichen Botnetze und Scriptkiddies. Die wollen nur spielen.
Der Root-Zugang zum Server wird alle paar Minuten angehackt.

Das checken deiner Webseite per Denic und Pagerank dürfte übrigens andere Gründe haben.
Da hat dich entweder einer deiner Mitbewerber um die Plätze deine Seite angeschaut oder eines der SEO Programme hat Keywörter und die damit verbundenen Webseiten gescheckt.

Für Debian u.ä. sollte man fail2ban installieren, ist aber leider nicht unbedingt für Anfänger geeignet.

Fail2ban hat eine nette Nebenfunktion - es kann server logs auswerten und erkennen, wenn jemand versucht per htpasswd sich einzuloggen - bei x Fehlversuchen bannt fail2ban automatisch die IP.

Wenn man nun per htpasswd den Adminbereich von Joomla damit schützt, muß man zwar 2 mal ein password eingeben um sich da einzuloggen, aber fail2ban erkennt dann auf Systemebene
Loginversuche und bannt die automatisch. Zumal kann man damit auch (fast) alles andere schützen. Nettes Program, abgesehen davon das es in Python geschrieben ist. Aber wie gesagt, erfordert ein paar Kenntnisse und root Zugang.

[CashFlowsMobile]

Also, wenn du Joomla sauber aufgesetzt hast, brauchst du es deswegen nicht vom Netz zu nehmen.

Bei den meisten meiner Server kommen solche Angriffe x mal pro Stunde vor.
Das sind die üblichen Botnetze und Scriptkiddies. Die wollen nur spielen.
Der Root-Zugang zum Server wird alle paar Minuten angehackt.

Das checken deiner Webseite per Denic und Pagerank dürfte übrigens andere Gründe haben.
Da hat dich entweder einer deiner Mitbewerber um die Plätze deine Seite angeschaut oder eines der SEO Programme hat Keywörter und die damit verbundenen Webseiten gescheckt.

Für Debian u.ä. sollte man fail2ban installieren, ist aber leider nicht unbedingt für Anfänger geeignet.

Fail2ban hat eine nette Nebenfunktion - es kann server logs auswerten und erkennen, wenn jemand versucht per htpasswd sich einzuloggen - bei x Fehlversuchen bannt fail2ban automatisch die IP.

Wenn man nun per htpasswd den Adminbereich von Joomla damit schützt, muß man zwar 2 mal ein password eingeben um sich da einzuloggen, aber fail2ban erkennt dann auf Systemebene
Loginversuche und bannt die automatisch. Zumal kann man damit auch (fast) alles andere schützen. Nettes Program, abgesehen davon das es in Python geschrieben ist. Aber wie gesagt, erfordert ein paar Kenntnisse und root Zugang.

Oftmals hilft es schon den SSH Port zu ändern da die meisten Bots auf Port 22 scannen. Es empfiehlt sich einen Port über 1024 zu verwenden. In Verbindung mit einer sinnvollen Firewallkonfiguration können Angriffe früh erkannt und gefiltert werden. Bei einem Apache Webserver kann man auch mit Mod_Security unter Umständen bestimmte Angriffe filtern. Fail2Ban ist ein sehr sinnvolles Tool und sollte auf jedem Server installiert sein.

Viele Grüße

Steven

[mtx93]

Yep, Port umgestellt habe ich auch meistens. Leider geht das nicht immer.

Ich habe einen Server, auf dem ich einen SVN Server habe, der durch ssh key tunnel von verschiedenen Usern angesprochen wird - und da kann man bei SVN leider keinen port beim tunneling in der Access URL einstellen. Kleiner Designfehler von SVN.

Mod_security habe ich normalerweise nicht, da das Ding doch einen recht großen Overhead hat.
Da ich mich recht gut mit den rewrite rules & servern auskenne, baue ich mir die rewrites in der Regel in den server defines selber ein. Ich benutze z.B. auch keine htaccess oder so mehr - da ich voll auf nginx umgestiegen bin. Ist allerdings nichts für Anfänger - da mußte ich auch schon Zeit investieren und ich bin schon 10 Jahre dabei.

Fail2ban würde ich mir als echtes, integriertes Systemtool wünschen, als Thread oder gar als Demon, eine oder zwei Systemebenen tiefer eben.

[Synonym]

Da würde ich gar nicht auf ein CMS tippen. Sowas da:

//phpmyadmin2/index.php
//pma/index.php
//web/phpMyAdmin/index.php
//xampp/phpmyadmin/index.php
//web/index.php
//php-my-admin/index.php
//websql/index.php
//phpmyadmin/index.php
//phpMyAdmin-2/index.php
//php-my-admin/index.php
//phpMyAdmin-2.2.3/index.php
//phpMyAdmin-2.2.6/index.php
//phpMyAdmin-2.5.1/index.php

hab ich auch tausende am Tag und ich hab kein CMS. Das ist normal heutzutage. Fang derartiges einfach ab, das spart Traffik. Also alles abfangen, was einem speziellen Muster entspricht. Und eben die Software, wenn man sie denn verwendet, immer in einen anderen Ordner packen / umbenennen und nicht den Default-Namen verwenden. Dann laufen die Zugriffe alle ins Leere und gut ist.

[Martin Belz]

Vielen dank für die Tips .....

ich werde versuchen alles zu berücksichtigen.

Nochmals vielen dank ....

[netzfreak]

Hallo,

Bei der Analyse meiner Logfiles konnte ich folgendes feststellen, meine Seite wurde:

mittels Denic abgefragt
den Wert meiner Links über entsprechende Seiten abgefragt
der Pagerank ermittelt
durch Webreputations Seiten abgefragt

Wie kann man "Seite wurde mittels Denic abgefragt" in den Logfiles erkennen?

Grüße,
Netzfreak

[Martin Belz]

Hallo Netzfreak,


Schau mal unter HTTP Referer ...