Seit ich meinen eigenen Apache-Server zusammen mit dieser Webseite betreibe, sehe ich es täglich viele dutzend Male in den Serverlogs: Ungültige Seitenaufrufe. Anfangs war ich eher erschrocken weil ich nicht wußte, woher diese vermeintlichen "Fehler" kommen. Zwischendurch war ich dann genervt weil ich wußte, daß die meisten Aufrufe von Bots stammen, die sich auf schlecht-gesicherte Windows-PCs verbreiten und von dort aus sogenannte "Vulnerability-Scans" durchführen. Diese Scans sollen unter Anderem Server auf mögliche Verwundbarkeit überprüfen um sie gegebenenfalls mit Schadcode zu infizieren, welcher dann wiederrum andere Server infiziert.

Letztendlich habe ich eine erstaunlich einfache aber dennoch sehr wirksame Methode entdeckt, solchen Angriffen zu entgehen. Da diese Seite mit Joomla betrieben wird, kann man mit etwas Grundwissen zumindest ausschließen, daß ungültige Seitenaufrufe durch eine (Fehl-)Bedienung auf der Seite selbst entstehen - und falls doch, diese Joomlaintern auf eine angepasste Fehlerseite umleiten. Daraus kann man folgern, daß jeder Aufruf der einen 404 im Apache zur Folge hat, nicht durch die Webseite entstanden ist sondern durch einen gezielten Angriff von Außen. Warum sonst sollte www.mario-uecker.de/admin sonst aufgerufen werden, wenn es auf der Seite nirgends verlinkt wird!? Was tut man also gegen solche Aufrufe? Ganz einfach: Man lenkt sie einfach wieder zurück ;)

Wenn ein infizierter Server versucht auf das Verzeichnis /admin meines Servers zuzugreifen um dort entsprechenden Schadcode abzukippen gehe ich davon aus, daß er selbst auf die gleiche Art infiziert wurde. Ergo: leite ich den Angriff auf den angreifenden Server selbst zurück, infiziert er sich selbst erneut. Was das für den angreifenden Server genau bedeutet, wird wohl nur der Programmierer des entsprechenden Bots sagen können, kann mir aber auch egal sein ;) Man trägt in die entsprechende Fehler.php einfach header ("Location:http://$ip$URL"); ein, wobei $ip die IP des aufrufenden Clients ist und $URL dem Verzeichnis entspricht und schon wird man merken, wie die ungültigen Aufrufe durch Bots immer weniger werden. Sobald solch ein Bot sich selbst infiziert hat ist er glücklich.

• Neuer Kommentar
• Suche

Kommentare (3)

• 26-06-2010 03:37:12 -  | Mario Uecker
  Danke für deinen Vorschlag. Es ist jedoch vollkommen egal, welche Serversoftware beim aufrufenden Client läuft - falls eine solche aktiv ist. Der Port ist auch absolut gleichgültig. Mein Apache lauscht nur auf Port 80 - dem Standardport für Webseiten. Folglich kann ein 404 auch nur auf Port 80 erfolgen und eine portspezifische Weiterleitung ist nicht notwendig.
  • 0
  • 0

  Antworten

• 26-06-2010 11:36:39 -  | Anonym
  stimmt aber ich wusste ja nicht, auf welche ports dein server lauscht
  • 0
  • 0

  Antworten

• 26-06-2010 05:32:55 -  | flx5  - Verbesserungsmöglichkeit
  Hm jetzt hast du aber www.mario-uecker.de/admin verlinkt Auserdem würde ich erst mal noch prüfen, ob der Server überhaupt nen Apache laufen hat (bzw auf den Port, auf den der Angriff kam) Deshalb: Die Variablen $IP und $URL bleiben gleich. Es kommt eigentlich nur noch die Variable $port hinzu, die hier noch nicht festgelegt ist. Die Variable $gourl ist dafür zuständig, wo der client hingeschickt werden soll. So hab ich auch mal wieder nen Beitrag geleistet
  • 0
  • 0

  Antworten

Kommentar schreiben

Ihre Kontaktdetails:

Name:

E-Mail: nicht benachrichtigenbenachrichtigen

Website:

Kommentare:

Titel:

Nachricht:

Joomla components by Compojoom