1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Blog wird regelmäßig angegriffen - Gegenmaßnahmen?

Dieses Thema im Forum "Allgemeines" wurde erstellt von Prio, 27. Dezember 2011.

  1. Prio

    Prio Active Member

    Registriert seit:
    5. August 2009
    Beiträge:
    27
    Zustimmungen:
    0
    Hallo!

    Ich habe meine Webseite vor einigen Monaten auf WP umgestellt, dass ich hier als CMS verwende. Um sicher zu stellen, dass bei dieser Umstellung alle alten Webseiten/Adressen korrekt umgezogen sind habe ich die 404 Seite so eingerichtet, dass ich bei deren Aufruf automatisch einen E-Mail erhalte.

    Hier durch sehe ich, dass die Seite regelmäßig "angegriffen" wird. Das heißt es wird öffters systematisch nach Schwachstellen gesucht indem getestet wird ob ggf. verwundbare Seiten erreichbar sind. Es geht also um Aufrufe wie:

    www.meineseite.xy/phpmysqladmin
    www.meineseite.xy/phpsqladmin
    www.meineseite.xy/sqladmin
    www.meineseite.xy/websql
    ...

    Auf diese Weise werden hunderte mögliche Adressen/Skripte geprüft. Da diese alle nicht erreichbar sind landen die Aufrufe auf der 404 Seite und damit bei mir als E-Mail.

    Ich habe keine Staatsgeheimnisse auf meiner Seite und ich denke auch nicht, dass es sich hierbei um gezielte Angriffe sondern um beliebige Scans handelt. Irgendjemand sucht einfach irgendeine Seite um diese ggf. irgendwie missbrauchen zu können. Natürlich will ich das trotzdem vermeiden. Die Frage ist daher was kann und sollte man dagegen machen?

    Ich habe die WP Installation nach verschiedenen Anleitungen abgesichert und auch mit unterschiedlichen PlugIns auf die Sicherheit getestet. Dinge wie PHPMySQLAdmin sind natürlich nicht öffentlich zugänglich etc. Daher gehe ich davon aus, dass diese Angriffe bislang im Sande verlaufen sind. Diese gab es vermutlich auch schon immer, nur sehe ich diese nun durch besagte 404er Mails.

    Was soll ich also machen? Gibt es Möglichkeiten diese Massenscans abzuwehren? Wenn innerhalb weniger Minuten 50 mal von der gleichen IP die 404er Seite aufgerufen wurde könnten man diese natürlich Sperren. Aber wie? Ich verwende eine statische .htaccess Datei und habe z.B. kein PlugIn gefunden mit dem solch eine Sperre automatisch möglich wäre. Die IP nachträglich manuell in die .htaccess einzutragen hat natürlich wenig Sinn.

    Macht es überhaupt Sinn diese Scans zu unterbinden?

    Über ein paar Tipps, Infos und Meinungen wie ihr das regelt würde ich mich sehr freuen!
     
  2. B-52

    B-52 Well-Known Member

    Registriert seit:
    16. März 2008
    Beiträge:
    1.189
    Zustimmungen:
    16
    Bist Du sicher? Du vielleicht nicht, aber derjenige der Deinen Zugang gehackt hat oder hacken wird! Falls es wirklich so akut ist, würde ich mich direkt mit dem Hoster in Verbindung setzen. Die haben weitaus grössere Macht gegenüber solchen Attacken (wenn es überhaupt welche sind, und nicht von einer falschen Weiterleitung Deinerseits stammen).

    sehr gut und weise :p
     
  3. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    RFC 2606 <= Bitte lesen und beachten

    Du könntest in der .htaccess die "Bad Bot" Anwender sperren

    # Sperre nach Agent
    SetEnvIfNoCase user-agent "1337" bad_bot=1
    usw

    # Sperre nach IP
    SetEnvIfNoCase remote_addr "173.234.159.211" bad_bot=1
    usw

    # Sperre nach Request
    SetEnvIfNoCase request_uri "^w00tw00t.*" bad_bot=1
    usw.

    Wenn du unbedingt die 404 als mail haben möchtest, lass dir die Error Log-Datei nur einmal am Tag - z.b. morgens senden.

    Wichtiger ist, meiner Meinung, dass du dir evtl. PHP Probleme zusendest. (Im PHP Handbuch findest du entsprechende Scripte, wie du auf bestimmte Fehler per mail erhälst...)

    Selbstverständlich kannst du auch die URI

    www.example.org/phpmysqladmin
    www.example.org/phpsqladmin
    www.example.org/sqladmin
    www.example.org/websql

    bei sqladmin enthält, verhindern, dass du keine Mail erhälst....

    Wo ist das Problem?

    ralf
     
  4. Prio

    Prio Active Member

    Registriert seit:
    5. August 2009
    Beiträge:
    27
    Zustimmungen:
    0
    Naja, es wäre schon ein recht merkwürdiger Weiterleitungsfehler, wenn dadurch systematisch mehrere 100 Varianten von bekannten Scripten (PHPMySQLAdmin, Gallery, etc.) aufgerufen würden...

    In der htaccess Robots zu sperren hat nicht viel Sinn, da in den meisten Fällen ein "normaler" Useragent wie z.B. IE oder Firefox angegeben ist. Manuell nach IPs zu sperren hat ebenfalls wenig Sinn da die Angriffe meistens Nachts erfolgen und ein Eintrag am nächsten Morgen keinerlei Effekt mehr hätte.

    Natürlich kann ich die Mails auch abstellen oder so einrichten, dass nur einmal am Tag eine Zusammenfassung verschickt wird. Es geht mir aber NICHT darum diese Zugriffe nur nicht mehr zu sehen sondern sie zu verhindern.

    Das Ziel wäre etwa ein WP PlugIn, dass X Aufrufen falscher Seiten eine IP automatisch sperrt. Gibt es so etwas?
     
  5. bgeissler

    bgeissler Well-Known Member

    Registriert seit:
    6. August 2006
    Beiträge:
    4.404
    Zustimmungen:
    0
    Wer könnte denn dieser "Irgendjemand" sein, darüber hast du noch nichts geschreiben.
     
  6. Prio

    Prio Active Member

    Registriert seit:
    5. August 2009
    Beiträge:
    27
    Zustimmungen:
    0
    Das klingt jetzt vielleicht barscher als es klingen soll, aber: Woher soll ich das wissen?

    Die Seite scannt sich jedenfalls nicht selbst und aufrufe von "guten" Suchmaschinen sehen anders aus.

    Alles was ich sehe ist, dass von einer beliebigen IP in kurzer Zeit hunderte Anfragen an die Seite gestellt werden um zu testen um bekannte Skripte erreichbar und offen sind. Leider hat sich vorher niemand angemeldet und gesagt "Hallo, ich bin ein Skriptkiddy aus der Nachbarschaft, dass nur spielen will" oder "Hey, wir sind die Internetmafia aus China wir scannen dann mal eben"....

    Die IPs stammen meist aus DE oder dem Rest von Europa. Russland und China waren auch schon dabei. Aber ist das nicht furchtbar egal? Wenn jemand maskiert um mein Haus schleicht und alle Fenster und Türen auf Schwachstellen abklopft ist mir auch ziemlich egal wer das ist und woher der kommt.

    Fakt ist, irgendjemand sucht Schwachstellen in der Seite. Ich gehe davon aus, dass er (zumindest auf diesem Weg) keine Finden wird. Aber ich bin kein Hacker und kenne daher garantiert nicht alle möglichen Wege in eine Webseite. Mir wäre daher wohler wenn es irgendeine Abwehrmaßnahme gäbe. Vielleicht hat ja dazu doch noch jemand einen Tipp........
     
  7. befla

    befla Gast

    Versuche mal das hier: Better WP Security
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden