Vor einigen Tagen habe ich einen Honeypot fertiggstellt, der Angreifer schon bei der Vorbereitung eines Angriffs auf meine Webserver feststellt und blockiert.
Hier das Ergebnis der letzten Nacht:
(Uhrzeit, Angriffsersuch, IP-Adresse)
04:42 /admin/banner_manager.php/login.php - 174.128.240.2
04:50 /admin/categories.php/login.php?cPath=&action=new_product_preview - 174.142.75.174
04:50 /admin/categories.php/login.php?cPath=&action=new_product_preview - 75.126.154.162
04:53 /admin/categories.php/login.php?cPath=&action=new_product_preview - 85.158.181.47
04:53 /admin/categories.php/login.php?cPath=&action=new_product_preview - 189.113.5.131
04:54 /admin/categories.php/login.php?cPath=&action=new_product_preview - 74.222.6.111
04:59 /admin/categories.php/login.php?cPath=&action=new_product_preview - 85.36.63.35
05:26 /admin/categories.php/login.php?cPath=&action=new_product_preview - 88.12.17.111
06:45 /admin/banner_manager.php/login.php - 89.249.68.71
07:34 /admin/file_manager.php/login.php - 62.173.138.142
Nette Versuche! Beim nächsten Test auf eine Angriffsmöglichkeit gab es für diese Besucher eine Umleitung zu einer Webseite des BKA über die Bekämpfung von Internetkriminalität. (Etwas) Humor habe ich nämlich auch noch.
2 Kommentare:
ja, schön, Du bist der Admin und kannst das einbauen, wie ist es aber, wenn ein gesamtes Forum dadurch stillgelegt wird, wie gerade heute abend gesehen
http://baclofen.blog.de
der link zum Forum >>> honeypot
wie kann man feststellen wer wie wo das eingebaut hat ???
danke sabine
ja, schön, Du bist der Admin und kannst das einbauen, wie ist es aber, wenn ein gesamtes Forum dadurch stillgelegt wird, wie gerade heute abend gesehen
Weder in dem Blog noch in dem Forum finde ich einen Hinweis, der Deine Behauptung, letzteres wäre durch meinen Honeypot blockiert worden, stützt. Insbesondere habe ich im Forum keinen Unterpunkt oder Beitrag zum Honeypot finden können.
wie kann man feststellen wer wie wo das eingebaut hat
Wenn man nach einem Aufuf von http://....../admin/banner_manager.php/login.php
blockiert wird, also nichts mehr von dem Server abrufen kann, besteht die Möglichkeit, dass der Betreiber entweder meinen Honeypot oder aber eine ganz anderen Technik einsetzt.
Kommentar veröffentlichen