IPs gebannt wegen Hackversuchen

Sleip · 26. Dezember 2009

Also mein Server ist noch keine Woche alt und schon stehen unzählige Einträge von Bots in meiner Error.log des Apachen, sind schon knapp 400 Einträge nur von Bots die versuchen das Verzeichniss von PhpMyAdmin und andere unter /var/www/ zu finden.

Dabei ist mir eine IP eines deutschen aufgefallen, hier sind zwei Einträge die mich etwas besorgt stimmen, was ist das für eine Datei die dort gesucht wird?

Code

[Fri Dec 25 22:27:26 2009] [error] [client 194.25.35.60] script '/var/www/sh3ll.phpmain.php' not found or unable to stat
[Fri Dec 25 22:27:26 2009] [error] [client 194.25.35.60] script '/var/www/shell.phpmain.php' not found or unable to stat

das geht übrigens noch viel weiter, der hat dutzende Sachen abgefragt...

Code

[Fri Dec 25 22:27:21 2009] [error] [client 194.25.35.60] File does not exist: /var/www/phpMyAdmin-2.7.0-beta1
[Fri Dec 25 22:27:21 2009] [error] [client 194.25.35.60] File does not exist: /var/www/phpMyAdmin-2.7.0-pl1
[Fri Dec 25 22:27:21 2009] [error] [client 194.25.35.60] File does not exist: /var/www/phpMyAdmin-2.7.0-pl2
[Fri Dec 25 22:27:21 2009] [error] [client 194.25.35.60] File does not exist: /var/www/phpMyAdmin-2.7.0-rc1
[Fri Dec 25 22:27:21 2009] [error] [client 194.25.35.60] File does not exist: /var/www/phpMyAdmin-2.7.0
[Fri Dec 25 22:27:21 2009] [error] [client 194.25.35.60] File does not exist: /var/www/phpMyAdmin-2.8.0-beta1
[Fri Dec 25 22:27:21 2009] [error] [client 194.25.35.60] File does not exist: /var/www/phpMyAdmin-2.8.0-rc1
[Fri Dec 25 22:27:21 2009] [error] [client 194.25.35.60] File does not exist: /var/www/phpMyAdmin-2.8.0-rc2
[Fri Dec 25 22:27:24 2009] [error] [client 194.25.35.60] File does not exist: /var/www/phpMyAdmin-2.8.0.1
[Fri Dec 25 22:27:24 2009] [error] [client 194.25.35.60] File does not exist: /var/www/phpMyAdmin-2.8.0.2

Hab jetzt mal vorsorglich alle IPs in der Firewall verboten und den SSH deaktiviert. Aber ich kann doch nicht jede IP in der Firewall eintragen und sperren, dann wäre ich ja nur noch damit beschäftigt Wie macht ihr denn das und vor allem wie regelt ihr es das eure Logs nicht zu groß werden?

Frage an Netcup, ist es nicht möglich solche IP´s an euch weiterzugeben so das ihr diese für alle Server sperrt?

Proyx · 26. Dezember 2009

ich bekomme viele solcher anfragen einfach dumme bots bzw leute die mit nen Scanner seiten abchecken was solls ich habe phpmyadmin umbennannt;)

Sleip · 26. Dezember 2009

Mein PMA liegt auch unter nem anderen Verzeichniss, aber ich werd wohl auch noch mit htaccess schützen, sicher ist sicher

Hab eben gesehen das auch versucht wird sich ständig in ein POP3 einzuloggen, obwohl überhaupt kein Konto angelegt ist xD

Code

Dec 26 19:55:08 v330091244032265 pop3d: Connection, ip=[::ffff:212.227.112.229]
Dec 26 19:55:08 v330091244032265 pop3d: LOGIN FAILED, user=web972p1, ip=[::ffff:212.227.112.229]
Dec 26 19:55:08 v330091244032265 pop3d: authentication error: Input/output error

Ich werd jetzt einfach immer alle IPs sperren die extrem auffälig sind, scheinen ja auch alles Server zu sein, von daher ist es ja auch sinvoll.

SiGa · 27. Dezember 2009

Würde ich nicht machen. Stell dir mal vor, ein Scriptkiddie macht es mit seinem Webhosting Account, und ein anderer Kunde, der auf dem selben Server ist, will dir z.B. eine E-Mail schicken. Seine IP Adresse wäre durch die Firewall geblockt, nur weil ein Scriptkiddie auf dem selben Server unfug treibt.

Außerdem kann es auch sein, das der Server/die IP Adresse irgendwann von jemand anderem betrieben wird, der kein unfug treibt, sondern aus anderen gründen deinen server kontaktieren will.

Wenn es ein Deutscher Provider ist, lohnt es sich meistens dies zu melden. Alles andere würde ich ignorieren.

Was ich dir aber empfehlen würde: phpMyAdmin mit htaccess schützen, weil diese software in vergangenheit oft sicherheitslücken hatte.

Außerdem: SSH root login deaktivieren, ssh keys für den login verwenden und logins mit dem Passwort deaktivieren. Dann können die probieren was die wollen, klappen wird es nicht.

Perfekt wäre es, wenn man iptables bei den vServern verwenden könnte, weil man dann anwendungen wie fail2ban laufen lassen könnte.

kostaki · 27. Dezember 2009

ja solche script kiddies hat man immer wieder. Sollte man nicht überbewerten.

m_ueberall · 27. Dezember 2009

Hallo,

Zitat von SiGa;11264

Stell dir mal vor, ein Scriptkiddie macht es mit seinem Webhosting Account, und ein anderer Kunde, der auf dem selben Server ist, will dir z.B. eine E-Mail schicken. Seine IP Adresse wäre durch die Firewall geblockt, nur weil ein Scriptkiddie auf dem selben Server unfug treibt.

Gerade dadurch wird aber erreicht, daß man sich "vor Ort" um das Problem kümmert.

Zitat von SiGa;11264

Außerdem kann es auch sein, das der Server/die IP Adresse irgendwann von jemand anderem betrieben wird, der kein unfug treibt, sondern aus anderen gründen deinen server kontaktieren will.

denyhosts und andere Lösungen sehen durchaus vor, daß man IP-Adressen nach einer gewissen Zeit wieder freigibt (sofern sie nicht x-mal auffallen).

Zitat von SiGa;11264

Was ich dir aber empfehlen würde: phpMyAdmin mit htaccess schützen, weil diese software in vergangenheit oft sicherheitslücken hatte.

Entweder das, oder man bindet diese Administrationsdienste allesamt an eine interne Schnittstelle, über welche man selbst via SSH-Tunnel o.ä. zugreift (wie angemerkt, mittels Schlüssel und nicht durch Passworte geschützt) -- damit hat man dann auch die Anzahl der "Einfallstore" reduziert.

Zitat von SiGa;11264

Perfekt wäre es, wenn man iptables bei den vServern verwenden könnte, weil man dann anwendungen wie fail2ban laufen lassen könnte.

Im Forum wurde unlängst ein fail2ban-Lösungsansatz vorgestellt: vServer fail2ban Alternative fuer OpenVCP

Ad astra, Markus

perryflynn · 27. Dezember 2009

In meinen Logs sind solche Einträge auch Tonnenweise.

Code

2009-12-19 08:12:50 --> //phpMyAdmin-2.6.0-pl2/config/config.inc.php?p=phpinfo();
2009-12-19 08:12:52 --> //phpMyAdmin-2.6.3/config/config.inc.php?p=phpinfo();
2009-12-19 08:12:53 --> //phpMyAdmin-2.7.0-pl1/config/config.inc.php?p=phpinfo();
2009-12-19 08:12:54 --> //phpMyAdmin-2.8.0/config/config.inc.php?p=phpinfo();
2009-12-19 08:12:56 --> //php-myadmin/config/config.inc.php?p=phpinfo();
2009-12-20 02:46:09 --> /phpMyAdmin/main.php
2009-12-22 17:42:09 --> /w00tw00t.at.ISC.SANS.DFind:)
2009-12-23 13:33:31 --> /config/muie.php?c=w
2009-12-23 15:32:22 --> /roundcube/program/js/list.js
2009-12-23 15:32:23 --> /rc/program/js/list.js
2009-12-23 15:32:27 --> /bin/program/js/list.js

Alles anzeigen

Sollte man nicht weiter ernst nehmen. Sind halt nur dumme Bots.

koweto · 28. Dezember 2009

Zitat

In meinen Logs sind solche Einträge auch Tonnenweise.
.
.
.
Sollte man nicht weiter ernst nehmen. Sind halt nur dumme Bots.

Geht wohl jedem Serverbetreiber so. Gedanken solltest man sich dann machen, wenn diese Einträge plötzlich in der access.log auftauchen.

BlackCrow · 29. Dezember 2009

Die Logs sagen vorallem auch eines aus:
System immer auf dem aktuellen Stand halten, Software immer fleissig updaten.
Die Bots scannen Server meist nur nach bestimmten Versionen bzw bekannten Bugs von irgendwelchen Software-Packeten, wie hier zum beispiel in den Logs phpMyAdmin ersichtlich ist.
Hat ein Bot mal zufälligerweise eine Schwachstelle gefunden wird dieser möglicherweise weiteren Schaden damit anstellen.
Natürlich kann man alles dementsprechend erschweren und verhindern