Wo setzen automatisierte Hack-Scripts an?

Mit Hilfe des Bot-Trap Projektes ist es mir möglich einen kleinen Blick auf das automatisierte Vorgehen von Hackern zu werfen. Dabei ist auf Anhieb zu sehen, dass diese natürlich auf quell-offene Anwendungen setzen. Beliebt sind Blogs und Foren.

Zusätzlich gehe ich davon aus, dass ein Teil der Angriffe gar nicht gestartet wird. Entweder ist es nicht ersichtlich um welche Webanwendung es sich bei meiner Domain handelt, da geblockt durch Bot-Trap oder dass die derzeitige Automatisierung nicht für WordPress ausgelegt ist und gleich “weiter geht”.

Dennoch konnte ich eine gewisse Anzahl versuchter Angriffe in den letzten 30 Tagen verzeichnen. Sollte eine Injektion von fremden Code funktionieren, versucht der Großteil über einfache PHP-Scripte erstmal die Server-Eigenschaften auszuspionieren. Der kleinere Teil legt gleich mit voll ausgebauten PHP-Scripten los, welche zB. von Kaspersky sofort als “Trojan program Backdoor.PHP.Small.o” oder ähnlichem markiert werden.

Ein Diagramm mit den Anteilen verschiedener Methoden:

Hier eine Liste von Pfaden auf welche direkt Bezug genommen wurde:

  • /plugins/BackUp/Archive.php?bkpwp_ plugin_path=
  • /tag/plugins/BackUp/Archive.php?bk pwp_plugin_path=
  • /components/com_mp3_allopass/allopass-error.php?mosConfig_live_site=
  • /modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=
  • /get_events.php?includedir=
  • /index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST
    %5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=
  • /plugins/wordtube/wordtube-button.php?wpPATH=

Anschließend wurden immer URL Pfade zu Textdateien angegeben. Diese befinden sich oft auf Webseiten, deren Betreiber nicht ein mal wissen, dass sie Opfer einer Attacke geworden sind.

Auch wenn die Ansätze der Scripte oft total daneben sind und sich selbst in den Pfaden verirren, nochmal der Aufruf, immer die aktuellste Version von Webanwendungen mit offenem Quellcode benutzen. Sich zusätzlich zu schützen wäre ideal. Entweder durch das Einrichten einer .htaccess Datei mit entsprechenden Verboten oder einem Projekt wie Bot-Trap.

2 thoughts on “Wo setzen automatisierte Hack-Scripts an?

  1. Pingback: Nützliche Links für Webdesigner | Webregard – Watch the Web

  2. Pingback: Vorsicht Russen! at Heiligenberg-Blog

Leave a Reply

Your email address will not be published. Required fields are marked *