Hi, erst einmal ein grosses Lob an bplaced für die Sicherheit der Server.
Fast jeden zweiten Tag finde ich in den Logdateien meinen verschiedensten Projekten Angriffsversuche aller Arten. Jedoch immer ohner Erfolg.
Ist es bei Euch auch so, oder nur bei mir?
Viele versuchen es sogar verzweifelt über einer Stunde lang. Unfassbar, was die für eine Ausdauer haben.
Ich frage mich nur, warum so oft und viele? Hat es mit den Ranking meiner Projekte zu tun? Diese sind nämlich sehr gut bei den Suchmaschienen.
Ich würde gerne mal von Euch wissen, ob und wie viele Attacken es bei Euch sind.
Ich behaupte, dass sind Bots. - Auf meiner Privaten-Internet Seite habe ich auch zahlreiche “Angriffs” bzw. Exploit versuche, dumm nur das ich keine CMS oder andere Systeme verwende. ;D
Da ganze kratzt nur etwas am Traffic und an der grösse der MySQL Datenbank.
Es kommt drauf an was du unter Angriffsversuchs (aller Art) verstehst, zeig und doch mal ein kleinen Log-Auszug (bitte IP’s “zensieren”).
Dass das Bot’s sind, kann ich mir weniger vorstellen, weil manche versuche doppelt ausgeführt werden, was bei Bot’s nicht der Fall sein dürfte. Weiss ich aber nicht genau.
… das sieht für mich nicht nach einem Proxy aus ;D (laut dem Whois gehört der Server bzw. die IP Adresse zu Go Daddy Inc.)
Hab da wohl einige Probleme mit dem verbreiten von Malware safebrowsing.clients.google.com/ … erver.net/
[quote]class pBot
var $config = array(“server”=>"************",
“port”=>"************",
“pass”=>"************",
“prefix”=>“endos”,
“maxrand”=>“3”,
“chan”=>"# +kpok",
“chan2”=>"# +kpok",
“key”=>“senhadocanal”,
“modes”=>"+p",
“password”=>"************",
“trigger”=>".",
“hostauth”=>"************"
);[/quote]
Jetzt würde ich folgendes behaupten:
Wenn man diese Dateu aufruft wird der PC (z.B. von dir) infiziert (Anmerkung: Kein normaler Besucher würde irgend wie auf diese Datei “kommen”, nur die Personen die den Referrer sehen (wieder du), da heisst also:
Der Angreifer nimmt an, jeder der diese Datei aufruft hat irgend wie zugriff auf die Logs (meistens Admins) und wenn jetzt du diese Datei aufrufst wirst du bald einmal feststellen das auf deiner Webspace/vServer/Root-Server irgend etwas nicht mehr stimmt. - Du hättest auf der Webspace/vServer/Root-Server Dateien die nicht drauf gehören usw. (besser gesagt du hast dann ein Bot-Script auf deiner WebspacevServer/Root-Server)
So würde ich mehr dies vorstellen bzw. erklären. - Ob’s stimmt, kann ich dir nicht versichern
Dann mag eventuell diesmal ja so stimmen, wobei ich mir auch nicht vorstellen kann, das jemand so verdächtig und nachverfolgbar Attacken ausübt. Bei den anderen malen wurde die IP oder der browser in Sekundentakt gewechselt. Ich schaue mir die IP’s ja auch immer an (utrace.de) und entdecke jedesmal ein anderes Land.
Ich habe schon eine ganze Sammlung solcher Dateien aus der Log und gab es dann auf, diese wegen der Vielzahl zu sammeln. Anfangs schaute ich die ersten zwei mir an und wurde tatsächlich auch schon einmal versäucht. Dann hatte ich meinen Rechner per Boot gesäubert und es dann sein gelassen.
Ich schaue auch regelmässig auf meinen Webspace und hatte noch nie fremde Dateien, die ich nicht kenne, entdeckt. Sobald dies geschieht (wohl eher nicht) hatte ein Angriff auch Erfolg gehabt.
