Verfasst am: 06.04.2006, 13:04 Titel: Angriff auf den Webserver
Hi,
Heute habe ich feststellen müssen, das in meinem HTTP-Log Einträge zu finden waren, die auf den Versuch eindeutig böswilliger Machenschaften hindeuten. Soweit ich dies deute, scheint jemand ein "Hijacking" versucht zu haben (per Script/Bot, da die Eingaben doch recht massiv gebündelt reinkamen).
Da meine Seite vorab schon per Passwort geschützt ist, hatte dieser Versuch keinen Erfolg! Also ist logischerweise auch nix böses hängengeblieben.
Meine Frage an Euch ist, wie soll man dabei vorgehen? Lohnt es sich diese Sache weiterzuverfolgen, oder sollte man das einfach ignorieren?
Hier mal das Log in Auszügen, auch wenn's ein bischen unübersichtlich wirkt:
Du solltest das auf alle Fälle deinem Host mitteilen und ihn weitere Schritte einleiten lassen.
Hi.
Sorry, hatte vergessen zu erwähnen, daß das mein PC zuhause ist. Ich bin der Hoster! Habe den nur für ein paar Freunde und mich am Arbeitsplatz laufen, deswegen auch den Passwortschutz. Da ich DSL-Flatrate Nutzer bin und mein PC eh an ist, läuft da dieses Portal mit.
Ich habe soweit alle mir bekannten/erdenklichen Sicherheitsvorkehrungen getroffen, also gehe ich dieses Risiko auch bewußt ein.
Dank DynDNS kommt da auch jeder dran, der soll (und auch Andere, wie man dem Topic entnehmen kann).
Anmeldedatum: Jun 17, 2001 Beiträge: 6643 Wohnort: Germany
Verfasst am: 06.04.2006, 20:01 Titel: Egal...
Hi,
ich würde sagen, vergiss es einfach. Weiterverfolgen (Polizei) nutzt eh nichts (zuviel Aufwand). Ich habe hier am Tag ca. 20 Hackerangriffe (so wie deine)... die werden aber alle von NukeSentinel abgefangen... kümmert mich also auch nicht allzusehr . _________________ WarpSpeed
habe ich mir auch so ähnlich gedacht. Evtl. könnte man ja mal an die entsprechende "Abuse"-Mail Adresse einen Auszug aus dem Log schicken. Vielleicht kümmern die sich ja. Habe den Provider jedenfalls mittlerweile über die NIC (www.nic.com) ermittelt, der sitzt in Australien.....
Ich werde mir mal überlegen, ob ich das einfach so mache. Damit kann man ja evtl. Anderen diesen Unmut ersparen, den ich damit habe.
Anmeldedatum: Jan 31, 2006 Beiträge: 62 Wohnort: Austria
Verfasst am: 07.04.2006, 11:06 Titel: sELFHOSTER
Hy wie hast du den dein Apache ( PHP ) Konfiguriert ?? Bin auch selfhoster und hatte einen Monat lang nen Häcker im genick den habe ich aber weggebracht !!
meine Konfiguration kommt "out of the box" (http://sourceforge.net/projects/webserv/). Darauf habe ich ein PHP-Nuke 7.9 gesetzt, die Security Patches von warpspeed eingespielt und generell ein Passwort per .htaccess an dedizierte Freunde vergeben.
Da das mein Heim-PC ist, habe ich einen DynDNS-Eintrag laufen, der meine IP auflöst, mein Router lässt die Anfragen auf Port 80 an meinen PC durch.
Da gibt's in Installationsverzeichnis des Webservers ein "log"-Verzeichniss wo alle relevanten Daten liegen. Darin habe ich diese Einträge gefunden.
Anmeldedatum: Jan 31, 2006 Beiträge: 62 Wohnort: Austria
Verfasst am: 07.04.2006, 16:59 Titel: hy
Wie hast du den php.ini und http.conf eingestellt ??
Aber weils so schön ist, mein Server läuft auf nen 2,6 GHZ 1 GB ram, 400 GB HDD und 2 Netzwerkkarten angeschlossen an einen Business Packet von Inode (austria) mit 5072/768 ( 8 Fixe IP´S ) dazu wurde ein Apache und Mercury Mailserver voll konfiguriert ( alle relevanten einstellungen wie register Globals usw wurden deaktiviert sowie PHP upload verboten !! Sql ist nur von Localhost ereichbar ( kein phpmyadmin ) sowie alle funktionen die nicht gebraucht werden aus dem http.conf rausgenommen !! Läuft bald 1,5 Jahre !! Da ich Win XP Prof verwende wurde die Netzwerkkarte so eingestellt das nur Ports rein und raus können die ich einstelle ( Portfiltering ) hat nix mit der Firewall zutun. Als Antivir wird Kaspersky 6 verwenden .
Ich habe alles darin verboten was geht. Uploads von Code u.s.w. mache ich per sFTP, wenn ich von Außerhalb drauf will. War aber bisher auch nicht das Problem.
Und da meine .htaccess schon vor dem PHP-Nuke liegt, muß sich jeder eh erst authentifizieren, bevore er das könnte. Der Kreis ist momentan auf ca. 1 Dutzend Leute begrenzt, die ich alle persönlich kenne. Darum glaube ich auch nicht, das meine Sicherheit so einfach komprommitierbar ist.
Anmeldedatum: Jan 31, 2006 Beiträge: 62 Wohnort: Austria
Verfasst am: 09.04.2006, 04:24 Titel: gut
gut gut irgendwo muss man mal anfangen um die sicherheitslücke zufinden war auch keineswegs böse gemeind ! aber wenn du willst können wir nen banner tausch machen. mfg
Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst deine Beiträge in diesem Forum nicht bearbeiten. Du kannst deine Beiträge in diesem Forum nicht löschen. Du kannst an Umfragen in diesem Forum nicht mitmachen.
Zugang erstellen oder einloggen.
FAQ
Suchen
Benutzergruppen
Profil
Einloggen, um private Nachrichten zu lesen
Login
.
