Angriffe auf Demoshops eindämmen

  • Guten Morgen,


    ich habe seit dem vorletztem Wochenende ein mittelschweres Problem mit Angriffen auf mehrere meiner Seiten, die so dermaßen große Logfiles erzeugen, dass das gesamte Hosting irgendwann nachts gesperrt wird. Dummerweise beginnt es immer erst gegen 23-24 Uhr, sodass ich kaum reagieren bzw auch kaum agieren kann^^ Zurzeit ist das Hosting wieder gesperrt :( Wie dem auch sei.



    Die Logfiles ergaben zunächst Angriffe auf xmlrpc, was ich bereits deaktiviert hatte.


    [Thu May 06 22:31:19.952812 2021] [authz_core:error] [pid 16907] [client 103.3.1.63:47390] AH01630: client denied by server configuration: /var/www/vhosts/hosting123744.a2fd9.netcup.net/lotties-shop/wp-login.php [Thu May 06 22:31:20.935866 2021] [authz_core:error] [pid 6296] [client 103.3.1.63:47446] AH01630: client denied by server configuration: /var/www/vhosts/hosting123744.a2fd9.netcup.net/lotties-shop/xmlrpc.php [Thu May 06 22:49:01.410514 2021] [authz_core:error] [pid 9945] [client 51.91.15.26:46794] AH01630: client denied by server configuration: /var/www/vhosts/hosting123744.a2fd9.netcup.net/lotties-shop/xmlrpc.php


    Passwörter sind alles geändert mit random von Keepass erzeugten PWs. Mit den Einträgen in den aktuellen Logs kann ich leider nicht soviel anfangen. Hier mal ein Auszug von letzter Woche....seither ist es ein und dasselbe bis auf die Zahlenfolgen. Kann jemand das auflösen? Evtl SQL Abfragen? Dieser spezielle Auszug kommt aus Richtung Nürnberg...meist aber - zumindest laut whois - aus Nordamerika


    [Thu May 06 22:50:43.347797 2021] [fcgid:warn] [pid 10398] [client 2a01:4f8:211:188d::2:57392] mod_fcgid: stderr: b2ea423d5fc8b6\\";a:3:{i:54;i:1;i:100;i:1;i:117;i:1;}s:32:\\"d5b0678e31f06a2667cbd44b70532df5\\";a:3:{i:54;i:1;i:100;i:1;i:117;i:1;}s:32:\\"dff58a6602a361bb28770a72f3051431\\";a:7:{i:54;i:4;i:55;i:3;i:96;i:1;i:100;i:2;i:106;i:1;i:115;i:2;i:117;i:2;}s:32:\\"25cc591f97c2c795d8a8af42097983c1\\";a:3:{i:54;i:1;i:100;i:1;i:117;i:1;}



    Ganz am Ende des logs:


    WHERE `option_name` = '_transient_wc_layered_nav_counts_pa_memory' von require('wp-blog-header.php'), require_once('wp-includes/template-loader.php'), include('/plugins/woocommerce/templates/taxonomy-product-cat.php'), wc_get_template, include('/themes/rehub-theme/woocommerce/archive-product.php'), get_sidebar, locate_template, load_template, require_once('/themes/rehub-theme/sidebar-shop.php'), dynamic_sidebar, WP_Widget->display_callback, WC_Widget_Layered_Nav->widget, WC_Widget_Layered_Nav->layered_nav_list, WC_Widget_Layered_Nav->get_filtered_term_product_counts, set_transient, update_option



    Blocken der IPs wird nicht allzuviel helfen. Löschen der logs per cronjob wäre nur ein kurzfristiger aber ansich unsinniger workaround. Gibt es ggf. Plesk Boardmittel, mit denen ich hier agieren kann? Service wie Cloudflare nutzen oder eigene WAF installieren? (wird ohne su vermutlich nicht funktionieren)


    Danke vorab und viele Grüße aus dem Norden

    Daniel

  • ich habe seit dem vorletztem Wochenende ein mittelschweres Problem mit Angriffen auf mehrere meiner Seiten, die so dermaßen große Logfiles erzeugen, dass das gesamte Hosting irgendwann nachts gesperrt wird. Dummerweise beginnt es immer erst gegen 23-24 Uhr, sodass ich kaum reagieren bzw auch kaum agieren kann^^ Zurzeit ist das Hosting wieder gesperrt Wie dem auch sei.

    Hallo Daniel,


    gibt es in Plesk die Möglichkeit die Logs kleiner zu halten?

    Wenn nicht werden die Logs ja von Netcup kontrolliert und sollten eigentlich nicht zur Sperrung deines Hostings führen.


    Immerhin sind solche Angriffe alltäglich - eine Sperrung sollte nur bei Erfolg erfolgen.


    Ich würde dir nahe legen, das Anliegen dem Support vorzutragen - und ggf. bis zu einer höheren Instanz durchzuziehen (am Ende einer Support E-Mail ist ein Link zur Beschwerdestelle)



    Service wie Cloudflare

    Cloudflare ist eine gute Idee, die funktionieren könnte. Ich würde jedoch vorher einmal den Support fragen, was das soll.

  • Kann jemand das auflösen? Evtl SQL Abfragen?

    Was genau da passiert kann ich Dir so auch nicht sagen, aber ein Teil der Fehlerausgabe sieht nach serialisierten PHP-Arrays aus: https://www.php.net/manual/de/function.serialize.php


    Ob das an dieser Stelle beabsichtigt ist, woher die kommen oder ob die an dieser Stelle Schaden anrichten könnten, kann man so nicht beurteilen. Dass ein SQL-Query beteiligt ist, legt die letzte Zeile nahe. Dass dieser Payload (?) überhaupt im Log landet ist meiner Ansicht nach eventuell kein gutes Zeichen. Das riecht stark nach irgendeiner (teilweise erfolgreichen) SQL-Injection. Es könnte aber auch einfach ein Bug in der verwendeten PHP-Software sein oder irgendein Limit, in das Deine Software läuft. Ohne mehr Details und Auszüge aus Access/Error Logs kann man das schwer beurteilen. Und ohne tiefgreifende Erfahrung mit der verwendeten Software wahrscheinlich auch nicht.


    So oder so: Bitte unabhängig davon immer alle Updates (auch von Plugins und Themes!) einspielen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • In Plesk gibt es mit der Protokollrotation die Möglichkeit, Logdateien zu löschen, wenn die eine gewisse Größe überschreiten. Vielleicht kann dir das ja erstmal helfen, bis das Problem endgültig gelöst ist.

  • Das sind wohl Versuche SQL-Injections durchzuführen.

    Wordpress ist da als Angriffsziel immer ganz oben auf der Liste, weil es da Unmengen an Plugins gibt und leider auch etliche davon Schwachstellen haben.

    Aus dem Logfileausschnitt geht ja auch hervor, dass da u.a. das Plugin woocommerce ausgetestet wird. Falls das noch nicht die Version 2.3.6 ist, dann könnte der Angreifer auch zum Ziel kommen.

    Es ist gerade bei Wordpress wichtig immer alle Plugins aktuell zu halten. (Und mein persönlicher Rat: Nur Plugins einsetzen, die auch wirklich notwendig sind ;))