Merkwürdige Error und Proxy Error Logs

    Hallo,


    wir sind noch Anfänger; zumindest in Sachen Serverhosting und Websitemanagement und sammeln gerade die ersten Erfahrungen in diesen Bereichen.


    Jedenfalls haben wir schon die Grundlagen gelernt und die Website via Wordpress ein Stück weit aufgebaut, Plugins installiert etc.


    Beim erkunden der Strukturen und durchstöbern der Logs im WCP sind wir allerdings auf merkwürdige Error Einträge gestoßen, die sich seit Wochen täglich wiederholen:


    -Error_log.1 bis Error_log.14 durchgehend alle paar Minuten:


    [Sat Mar 16 12:19:20.575873 2024] [authz_core:error] [pid 21789] [client 145.239.86.113:0] AH01630: client denied by server configuration: /var/www/vhosts/hosting186912.a2e3d.netcup.net/evermind-integrity.de/httpdocs/wp-login.php


    -Proxy_error_log.1 bis Proxy_error_log.14 auch durchgehend alle paar Minuten:


    2024/03/22 23:55:38 [error] 27779#0: *5315355 access forbidden by rule, client: 185.200.240.65, server: evermind-integrity.de, request: "POST /xmlrpc.php HTTP/1.1", host: "evermind-integrity.de"


    Können die Erfahrenen unter euch sagen was diese zu bedeuten haben?


    Bei PID und Client ändert sich ständig der Wert, wobei bei Client verschiedenste IPV4 und IPV6 Adressen stehen.

    Automatisierte Bot-Angriffe wie man sie kennt etwa?


    Wenn ich google nach dem ersten Errorlog kommen dabei nur Hinweise auf die Apache Versionsunterschiede 2.2 und 2.4 raus, wobei ich die Version im WCP nicht überprüfen kann.


    Und noch eine Frage: Was hat folgende Extra Website im WCP für eine Bedeutung bzw was sollte man damit machen?: hosting186912.a2e3d.netcup.net

    Diese lässt sich scheinbar auch konfigurieren, aber ich kann mir darauf keinen Reim machen wozu die da sein soll neben den eigentlichen Domains.


    Wäre auch nett wenn ihr generell in den Bereichen Tipps geben könnt auf was man als Anfänger achten sollte, welche Fehler man vermeiden sollte etc :)


    Danke euch vielmals :saint:

    Zitat von IntegrityDom

    Automatisierte Bot-Angriffe wie man sie kennt etwa?

    Wahrscheinlich genau das, ein übliches "Grundrauschen" im Internet. Ich verwende jedenfalls kein WordPress und trotzdem sind meine Logs voll mit genau solchen Zugriffsversuchen für (nicht existierende) xmlrpc.php und wp-login.php Dateien :)


    Da dort aber "access forbidden" bzw. "client denied" auftaucht, wurden diese Zugriffe offenbar sowieso blockiert. Der Grund dafür kann einerseits in Deiner eigenen Konfiguration liegen (z.B. mittels .htaccess Datei), oder andererseits in der globalen Serverkonfiguration von netcup. Letztere könnte bestimmte auffällige User-Agents und IP-Adressen/Subnetze aussperren, oder bei vielen solcher Zugriffe ein Rate-Limit anwenden. Was davon zutrifft, kann man als Außenstehender schwer sagen.


    Zitat von IntegrityDom
    Was hat folgende Extra Website im WCP für eine Bedeutung bzw was sollte man damit machen?: hosting186912.a2e3d.netcup.net

    Diese lässt sich scheinbar auch konfigurieren, aber ich kann mir darauf keinen Reim machen wozu die da sein soll neben den eigentlichen Domains.

    Diese "Standardsubdomain" eignet sich z.B. für Tests, wenn man noch gar keine Domain bestellt hat oder der Transfer von einem anderen Anbieter aussteht.

    • Was Du damit keinesfalls machen sollst: Deaktivieren bzw. sperren! Dann funktionieren nämlich einige Dinge wie Cronjobs ("Geplante Aufgaben") nicht mehr.
    • Was ich jedoch empfehlen würde: Weise sie einem leeren Ordner zu ("Dokumentenstamm ändern"), damit man darüber nicht versehentlich andere Inhalte erreicht. Soweit ich das von außen sehe, ist das bei Dir aber eh schon der Fall? Also kein Handlungsbedarf diesbezüglich.


    Zitat von IntegrityDom
    Wäre auch nett wenn ihr generell in den Bereichen Tipps geben könnt auf was man als Anfänger achten sollte, welche Fehler man vermeiden sollte etc :)
    • Updates immer zügig einspielen und nichts verwenden, was nicht mehr weiterentwickelt wird.
    • Starke und einmalige Passwörter verwenden. Immer und überall, ohne Ausnahmen.
    • Und (offline) einige Backups parat haben, die mehrere Monate zurückgehen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    2 Mal editiert, zuletzt von KB19 ()

    Gefällt mir 2

    Neben der Antwort von KB19 wollte ich noch ergänzen, dass über das WordPress Toolkit in den Webhosting Tarifen auch als Sicherheitsvorkehrung das Blockieren von xmlrpc.php (POST /xmlrpc.php) empfohlen wird. Diese RPC (Remote-Procedure-Call) Schnittstelle, die immer wieder Einfallstor ist, weil Sicherheitslücken gefunden werden wird hauptsächlich für Pingbacks von anderen Blogs verwendet.

    Bei Bedarf suche ich die Einstellungen im WP Toolkit heraus und schicke Screenshots von der Einstellung. Ich schalte das aber auch immer als Erstes ab, bzw. werde dazu vom WordPress Toolkit fast genötigt, weil der sonst in rot mindestens eine Sicherheitslücke anzeigt selbst in aktuellen 6.4.x WordPress Versionen.

    WH8000 SE 🥚 20 | WH1000 SE OST22 | WH1000 SE OST23 | WH1000 SE OST24 | WH 🥚🧶🥛🐖 | 🦆 VPS 200 🇺🇦🕊️

    Gefällt mir 2

    Die Einstellung findet man in den WCP Einstellungen im Unterpunkt "WordPress" wo die Sicherheitseinstellungen vom WordPress Toolkit das anbieten:

    [x] Block access to xmlrpc.php (Kann zurückgesetzt werden)

    netcup_WCP_WP_Toolkit_Sicherheitsmassnahmen_block_access_to_xmlrpc_php.png

    Diese Sicherheitsmaßnahme verhindert den Zugriff auf die Datei xmlrpc.php. Es wird empfohlen, es zur Reduzierung der Angriffsfläche anzuwenden, wenn XML-RPC nicht verwendet wird. Durch diese Maßnahme wird die Serverkonfigurationsdatei (Apache, nginx) geändert. Beachte, dass benutzerdefinierte Anweisungen in der .htaccess Datei dies möglicherweise überschreiben.


    Die Meldungen im Log geben bei Dir aus, dass die .htaccess Anweisungen den Zugriff auf diese Datei xmlrpc.php schon unterbinden.

    Also hier nochmal von mir die Empfehlung ... hier auch zu schauen, was man noch alles absichern kann. Die Hinweise sind nicht alle übersetzt (aber da bietet Dir jeder moderne Browser Möglichkeiten an dies sofort zu übersetzen), aber gut erklärt und in den meisten Fällen für einen WordPress Neuling sofort verständlich. Zudem sind einige davon auch reversibel, wenn man die entsprechenden Funktionen später doch nutzen möchte und wenn man nicht noch zusätzlich selbst an der .htaccess Datei herumschraubt auch relativ sicher umgesetzt von WordPress Profis, die das Toolkit entwickeln.


    Was ich Dir noch empfehlen kann, weil ich das selbst bei den meisten meiner WordPress Installationen automatisch verwende sind die folgenden beiden Plugins zum Deaktivieren von Kommentaren.
    Disable Comments – Remove Comments & Stop Spam [Multi-Site Support] – WordPress-Plugin | WordPress.org Deutsch

    Und wenn auch kein "Blog" genutzt werden soll, sondern nur als Werkzeug für die dynamische Homepage mit einem netten Theme ein weiteres Plugin:
    Disable Blog – WordPress-Plugin | WordPress.org Deutsch

    WH8000 SE 🥚 20 | WH1000 SE OST22 | WH1000 SE OST23 | WH1000 SE OST24 | WH 🥚🧶🥛🐖 | 🦆 VPS 200 🇺🇦🕊️

    Gefällt mir 1