Seltsame Seitenanfragen - Hacker am Werk?

MarkusToni · 10. Februar 2014

Heute hatte ich zum wiederholten Male Seitenaufrufe von verschiedenen ausländischen Hostadressen, welche alle die gleichen, nicht existierenden Anfragen an meinen Webspace geschickt haben:

z.B.:
www.meineseite.de/blog/*=
www.meineseite.de/buchen/*=

vor ein paar Tagen dagegen war es ein an eine durchaus gültige Adresse angehängtes /& oder /$= sowie ein /:

Diese Anfragen erfolgten jeweils in einem recht kleinen Zeitfenster von verschiedenen Host-Adressen z.B. aus Russland, der Ukraine, China, USA, Indonesien, Kenia, Indien etc.

Auffallen sind mir die Anfragen, da sie alle einen Error 404 verursachen, den mein Security-PlugIn (Better WP Security)aufzeichnet.

Kann mir wer sagen, was diese Anfragen sollen?
Muss ich mir da irgendwelche Sorgen machen?

Für Eure Rückmeldungen bedanke ich mich im Voraus!

Suklux · 10. Februar 2014

Bei mir passiert das gleiche seit zwei Wochen

Ich denke die versuchen eine Schwachstelle zu finden.

Was irgendwer genaueres darüber und was es damit auf sich hat?

MarkusToni · 11. Februar 2014

Gestern bekam ich einen Newsletter von wordfence.com:
"Large distributed brute force attack on WordPress sites underway
As of 11am eastern time this morning we are monitoring the largest distributed brute force attack on WordPress installations that we've seen to date."

Scheinbar läuft da gerade mal wieder eine Attacke auf WP-Installationen. Ob da eine Kausalität besteht?

MarkusToni · 12. Februar 2014

Und wieder etliche unsinnige Anfragen. Dieses mal wurde nach vermuteten Inhalten im Ordner "wp-content" gesucht. Den habe ich allerdings direkt nach der Installation über ein PlugIn umbenannt, so dass auch die ins Leere liefen, jedoch massenhaft "Error 404" produzierten.

<galgenhumor>
Immerhin: So habe ich wenigstens mal Besucher auf meiner HP...
</galgenhumor>

BastianP. · 13. Februar 2014

Bei mir konnte ich das zum Glück noch nicht beobachten. Werde es aber im Auge behalten, danke für den Hinweis.

B-52 · 3. März 2014

Zitat von MarkusToni: ↑

Und wieder etliche unsinnige Anfragen. Dieses mal wurde nach vermuteten Inhalten im Ordner "wp-content" gesucht. Den habe ich allerdings direkt nach der Installation über ein PlugIn umbenannt, so dass auch die ins Leere liefen, jedoch massenhaft "Error 404" produzierten.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Paranoia!

WP ist sicher. Niemals würde ich einem Plugin das Überschreiben des Ordner wp-content überlassen.

Mit einem sicheren Passwort und gesundem Menschenverstand ist WP ABSOLUT sicher, und das seit 6 Jahren.

Suklux · 29. März 2014

Aha Wordpress ist sicher seit sechs Jahren soso. Und wieso wurde dann die Seite von meinem Freund gehackt?

Eben, weil WP nicht sicher ist. Er arbeitet mit sicheren Passwörtern aber durch Bugs in WP bzw. Exploits brauchst du das Passwort selbst gar nicht hacken. Du kannst auch so Admin Zugriff bzw. Schreibrechte erhalten und dann ist es ein einfaches die Datenbankdaten aus der wp-config zu ziehen, dir neue Benutzer einzurichten oder das Passwort des bestehenden Admins zu ändern in MySql.

Ich hab aus genau dem Grund weil Wordpress nicht sicher ist meine Seite virenschutz.de von Wordpress weg geholt und auf statische Html Seiten gewechselt. Da hilft einem Hacker nur das FTP Passwort weiter. Ansonsten kann er da nicht viel anrichten sofern nicht der ganze Server kompromittiert wird.

Hille · 29. März 2014

Sorry, aber selten so einen Quatsch gehört.

MarkusToni · 8. Mai 2014

Alles, was weit verbreitet ist, zieht die Aufmerksamkeit von Hackern auf sich. Und WP ist weit verbreitet.

Ich selber bin vor zwei Jahren gehackt worden und konnte in letzter Instanz meinen WP-Blog nur noch plattmachen. Meine Seite wurde von Google sogar als "attackierend" gemeldet. Dabei hatte ich schon damals eine Security-Software installiert und meine Passwörter sind seit jeher wirre Zeichenfolgen.

Das Umbenennen habe ich bis heute nicht bereut: Irre viele Anfragen suchen gezielt nach dem wp-content-Ordner, das sehe ich in den Log-Files. Das Umbenennen ist natürlich ein Eingriff, der sich auf etliche Stellen auswirkt und ich würde es nie manuell versuchen. Ein Backup vor der Änderung ist definitiv empfehlenswert.

Gemessen an meinen eigenen Erfahrungen werde ich dabei bleiben.

freako · 12. Mai 2014

Zitat von Suklux: ↑

Aha Wordpress ist sicher seit sechs Jahren soso. Und wieso wurde dann die Seite von meinem Freund gehackt?

Eben, weil WP nicht sicher ist. Er arbeitet mit sicheren Passwörtern aber durch Bugs in WP bzw. Exploits brauchst du das Passwort selbst gar nicht hacken. Du kannst auch so Admin Zugriff bzw. Schreibrechte erhalten und dann ist es ein einfaches die Datenbankdaten aus der wp-config zu ziehen, dir neue Benutzer einzurichten oder das Passwort des bestehenden Admins zu ändern in MySql.

Ich hab aus genau dem Grund weil Wordpress nicht sicher ist meine Seite virenschutz.de von Wordpress weg geholt und auf statische Html Seiten gewechselt. Da hilft einem Hacker nur das FTP Passwort weiter. Ansonsten kann er da nicht viel anrichten sofern nicht der ganze Server kompromittiert wird.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ja bei uns in der Firma wurden die Blogs auch schon gehackt die wir vertreiben leider gerade erst vor paar Monaten

Hille · 13. Mai 2014

Wenn man sich an die Grundregeln hält, ist die Gefahr gehackt zu werden normalerweise relativ gering. Leider halten sich die meisten nicht daran.

MissMana · 17. Mai 2014

Es gibt aber auch viele die Passwörter wie '123456' oder 'passwort' haben. Die wundern sich dann wenn das Passwort geknackt wird mit Bruteforce (dauert max. 10 Sekunden bei solchen Passwörtern).

Hille · 18. Mai 2014

Das ist eine der Grundregeln, sichere Passwörter.

Word-Row · 21. Mai 2014

So eine Sammlung an seltsamen Seitenaufrufen wäre ja mal interessant. Gibt es so etwas schon ?

Putzlowitsch · 21. Mai 2014

Ich hatte vor ein paar Jahren zumindest mal eine Liste der probierten Paßwörter zusammengestellt:
http://schnurpsel.de/1347-passwoerter-aber-keins-passt-735/

Allerdings nur als Screenshot, ich will ja keine Datenbasis für andere Angreifer liefern.

Gruß
Ingo

Monika · 21. Mai 2014

ich hatte in den letzten 3 Jahren genug gehackte WP Installationen unter meinen Fingern um folgendes feststellen zu können:

Datenbankpasswort und FTP Passwort und Domainverwaltungspasswort und WP Passwort waren absolut gleich und meist auch noch der Vorname des Admins mit seinem GebDatum hinten dran...

selbst nach mehrmaliger Aufforderung dies zu ändern wurde es dabei belassen

Plugins, die derart schrottig gecodet waren, dass man durchmarschieren konnte => wenngleich ich da manchmal nicht mal sagen kann, ob es der Coder nicht genau so wollte...

uralte Plugins, uralte Themes

und ein Webspace auf einem Server wo ich selbst nach 9Jahren Serveradmin-Abstinenz einfach reinmarschieren konnte, ohne mich auch nur irgendwie anzustrengen ...
aber der Webspace war so urbillig und nicht, dass man sich nicht mehr leisten hätt können => niente, aber es ist sowieso eine Frechheit, dass im WWW irgendwas was kostet...

Fazit:
Sicherheit kostet auch Geld
und zu 99% ist man nicht immer wirklich unschuldig daran ...

WPDE.org

Seltsame Seitenanfragen - Hacker am Werk?

MarkusToni Member

Suklux New Member

MarkusToni Member

MarkusToni Member

BastianP. Member

B-52 Well-Known Member

Suklux New Member

Hille Well-Known Member

MarkusToni Member

freako Member

Hille Well-Known Member

MissMana New Member

Hille Well-Known Member

Word-Row Member

Putzlowitsch Well-Known Member

Monika Well-Known Member
Ehrenmitglied

Nützliche Suchen

Seltsame Seitenanfragen - Hacker am Werk?

MarkusToni Member

Suklux New Member

MarkusToni Member

MarkusToni Member

BastianP. Member

B-52 Well-Known Member

Suklux New Member

Hille Well-Known Member

MarkusToni Member

freako Member

Hille Well-Known Member

MissMana New Member

Hille Well-Known Member

Word-Row Member

Putzlowitsch Well-Known Member

Monika Well-Known Member Ehrenmitglied

Monika Well-Known Member
Ehrenmitglied