11.09.2011

Honeypot blockt Angreifer

Vor einigen Tagen habe ich einen Honeypot fertiggstellt, der Angreifer schon bei der Vorbereitung eines Angriffs auf meine Webserver feststellt und blockiert.

Hier das Ergebnis der letzten Nacht:

(Uhrzeit, Angriffsersuch, IP-Adresse)

04:42 /admin/banner_manager.php/login.php - 174.128.240.2
04:50 /admin/categories.php/login.php?cPath=&action=new_product_preview - 174.142.75.174
04:50 /admin/categories.php/login.php?cPath=&action=new_product_preview - 75.126.154.162
04:53 /admin/categories.php/login.php?cPath=&action=new_product_preview - 85.158.181.47
04:53 /admin/categories.php/login.php?cPath=&action=new_product_preview - 189.113.5.131
04:54 /admin/categories.php/login.php?cPath=&action=new_product_preview - 74.222.6.111
04:59 /admin/categories.php/login.php?cPath=&action=new_product_preview - 85.36.63.35
05:26 /admin/categories.php/login.php?cPath=&action=new_product_preview - 88.12.17.111
06:45 /admin/banner_manager.php/login.php - 89.249.68.71
07:34 /admin/file_manager.php/login.php - 62.173.138.142

Nette Versuche! Beim n√§chsten Test auf eine Angriffsm√∂glichkeit gab es f√ľr diese Besucher eine Umleitung zu einer Webseite des BKA √ľber die Bek√§mpfung von Internetkriminalit√§t. (Etwas) Humor habe ich n√§mlich auch noch.

Kommentare:

sabine hat gesagt…

ja, schön, Du bist der Admin und kannst das einbauen, wie ist es aber, wenn ein gesamtes Forum dadurch stillgelegt wird, wie gerade heute abend gesehen

http://baclofen.blog.de

der link zum Forum >>> honeypot

wie kann man feststellen wer wie wo das eingebaut hat ???

danke sabine

. hat gesagt…

ja, schön, Du bist der Admin und kannst das einbauen, wie ist es aber, wenn ein gesamtes Forum dadurch stillgelegt wird, wie gerade heute abend gesehen

Weder in dem Blog noch in dem Forum finde ich einen Hinweis, der Deine Behauptung, letzteres w√§re durch meinen Honeypot blockiert worden, st√ľtzt. Insbesondere habe ich im Forum keinen Unterpunkt oder Beitrag zum Honeypot finden k√∂nnen.

wie kann man feststellen wer wie wo das eingebaut hat

Wenn man nach einem Aufuf von http://....../admin/banner_manager.php/login.php

blockiert wird, also nichts mehr von dem Server abrufen kann, besteht die Möglichkeit, dass der Betreiber entweder meinen Honeypot oder aber eine ganz anderen Technik einsetzt.

Kommentar veröffentlichen