11.09.2011

Honeypot blockt Angreifer

Vor einigen Tagen habe ich einen Honeypot fertiggstellt, der Angreifer schon bei der Vorbereitung eines Angriffs auf meine Webserver feststellt und blockiert.

Hier das Ergebnis der letzten Nacht:

(Uhrzeit, Angriffsersuch, IP-Adresse)

04:42 /admin/banner_manager.php/login.php - 174.128.240.2
04:50 /admin/categories.php/login.php?cPath=&action=new_product_preview - 174.142.75.174
04:50 /admin/categories.php/login.php?cPath=&action=new_product_preview - 75.126.154.162
04:53 /admin/categories.php/login.php?cPath=&action=new_product_preview - 85.158.181.47
04:53 /admin/categories.php/login.php?cPath=&action=new_product_preview - 189.113.5.131
04:54 /admin/categories.php/login.php?cPath=&action=new_product_preview - 74.222.6.111
04:59 /admin/categories.php/login.php?cPath=&action=new_product_preview - 85.36.63.35
05:26 /admin/categories.php/login.php?cPath=&action=new_product_preview - 88.12.17.111
06:45 /admin/banner_manager.php/login.php - 89.249.68.71
07:34 /admin/file_manager.php/login.php - 62.173.138.142

Nette Versuche! Beim nächsten Test auf eine Angriffsmöglichkeit gab es für diese Besucher eine Umleitung zu einer Webseite des BKA über die Bekämpfung von Internetkriminalität. (Etwas) Humor habe ich nämlich auch noch.

2 Kommentare:

sabine hat gesagt…

ja, schön, Du bist der Admin und kannst das einbauen, wie ist es aber, wenn ein gesamtes Forum dadurch stillgelegt wird, wie gerade heute abend gesehen

http://baclofen.blog.de

der link zum Forum >>> honeypot

wie kann man feststellen wer wie wo das eingebaut hat ???

danke sabine

. hat gesagt…

ja, schön, Du bist der Admin und kannst das einbauen, wie ist es aber, wenn ein gesamtes Forum dadurch stillgelegt wird, wie gerade heute abend gesehen

Weder in dem Blog noch in dem Forum finde ich einen Hinweis, der Deine Behauptung, letzteres wäre durch meinen Honeypot blockiert worden, stützt. Insbesondere habe ich im Forum keinen Unterpunkt oder Beitrag zum Honeypot finden können.

wie kann man feststellen wer wie wo das eingebaut hat

Wenn man nach einem Aufuf von http://....../admin/banner_manager.php/login.php

blockiert wird, also nichts mehr von dem Server abrufen kann, besteht die Möglichkeit, dass der Betreiber entweder meinen Honeypot oder aber eine ganz anderen Technik einsetzt.

Kommentar veröffentlichen