|
Hack? Bot? oder was ist das?
|
| Panter |
Geschrieben am 05. Februar 2012 13:51:26
|
Stammgast
Posts: 122
Registriert seit: 03.02.09
Erfahrener BenutzerNächstes Level: 122/250
Scores: gesperrt
Verwarnstatus: 
|
Hallööölleee an alle
Also ich habe mal nach langer Zeit mal wieder ein Problemchen >.<
ich weiß nicht ganz genau wo ich es rein schreiben soll deshalb hier.
Also um was handelt sich es
Diesmal mit einem Websapce,
ich habe seid ein paar Tagen immer und immer wieder
kommische zugriefe... hier mal ein auszug aus der logfile.
Code
77.38.12.98 - - [04/Feb/2012:23:59:38 +0100] "GET /muieblackcat HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:41 +0100] "GET //admin/index.php HTTP/1.1" 200 1276 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:42 +0100] "GET //admin/pma/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:42 +0100] "GET //admin/phpmyadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:42 +0100] "GET //db/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:42 +0100] "GET //dbadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:47 +0100] "GET //myadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:47 +0100] "GET //mysql/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:48 +0100] "GET //mysqladmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:48 +0100] "GET //typo3/phpmyadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //phpadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //phpMyAdmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //phpmyadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //phpmyadmin1/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //phpmyadmin2/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //pma/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //web/phpMyAdmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //xampp/phpmyadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:56 +0100] "GET //php-my-admin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:56 +0100] "GET //websql/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpmyadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin-2/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //php-my-admin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin-2.2.3/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin-2.2.6/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin-2.5.1/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin-2.5.4/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:00 +0100] "GET //phpMyAdmin-2.5.5-rc2/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:00 +0100] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:00 +0100] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:00 +0100] "GET //phpMyAdmin-2.5.6-rc1/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:00 +0100] "GET //phpMyAdmin-2.5.6-rc2/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:04 +0100] "GET //phpMyAdmin-2.5.7/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:04 +0100] "GET //phpMyAdmin-2.5.7-pl1/index.php HTTP/1.1" 302 498 "-" "-"
Die IP ist ein Proxy.
es werden immer wieder auf die gesagten links aufgerufen und immer wieder von unterschiedlichen ip´s aus der ganzen Welt verstreut.
Die ganzen IP´s wie ich schon geschrieben habe sind alle sammt Proxy´s.
ich habe mich dann mal Schlau gegoogelt.
muieblackcat ist script / bot, angeblich ukrainischer Herkunft, die auf PHP-Schwachstellen oder Fehlkonfigurationen auszunutzen versucht. .........
Wenn Sie sich nicht mit PHP und deaktiviert haben mod_php , bist du sicher. Allerdings kann ein Antrag auf / muieblackcat bedeuten, dass der Bot bereits, vielleicht erfolgreich, besucht Ihre Website. Ich schlage vor, Sie sorgfältig überprüfen Sie Ihre Konfiguration und Web-Inhalte (wenn möglich, alles löschen und neu installieren von einer vertrauenswürdigen Quelle-Set).
Nicht wundern Google übersetzer weil ich auf Deutsch nix dazu gefunden habe.
Nun meine Frage ist was kann ich tun was muss ich machen?
Ich habe gestern alle Daten des Server gelöscht backups druff gespielt usw. aber es kommt immer wieder.
nun möchte ich das irgend wie bannen oder blocken oder so ist das möglich wenn ja was muss ich machen?
Ich hoffe auf hilfe.
Lg. Panter
Mein Rechner:
AMD Athlon 2 X4 630
4 GB Ram
NIVIDIA GeForce 9500 GT 1024 MB
8 TB Festplatten Speicher
Und nein ich bin kein Zokker so was ist luxus  |
 |
|
|
|
|
| Panter |
Geschrieben am 07. Februar 2012 08:27:46
|
Stammgast
Posts: 122
Registriert seit: 03.02.09
Erfahrener BenutzerNächstes Level: 122/250
Scores: gesperrt
Verwarnstatus:
|
Hallo an alle.
Also ich habe nun mich bisschen Schlau gemacht und habe folgendes Gefunden.
Code
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^MeinAgent [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Dies soll ich in die htaccess packen.
Dieser Eintrag blockt ja den User Agent, nur ich frage mich gerade was ich von meinem Eintrag benutzen soll.
Code 77.38.12.98 - - [04/Feb/2012:23:59:38 +0100] "GET /muieblackcat HTTP/1.1" 302 498 "-" "-"
muss ich dann z.b. das so eintragen
Code RewriteCond %{HTTP_USER_AGENT} ^"-" "-" [NC]
oder wie??????
Würde mich um hilfe sehr freuen und vor allem auch auf noch andere beispiele.
Lg. Panter
Mein Rechner:
AMD Athlon 2 X4 630
4 GB Ram
NIVIDIA GeForce 9500 GT 1024 MB
8 TB Festplatten Speicher
Und nein ich bin kein Zokker so was ist luxus |
| |
|
|
|
|
| BabyTunes |
Geschrieben am 07. Februar 2012 11:17:28
|
Posts: 343
Registriert seit: 07.12.08
Halb-ProfiNächstes Level: 344/500
Scores: gesperrt
|
Moin ,
kurze erklärung zu diesen "muieblackcat" :
Das ist eigendlich nur ein Script, was irgendwo in Russland, China oder sonst wo auf der Welt auf einen Server liegt und Webseiten/Server nach schwachstellen absucht, um danach ggf. eine Hack Attacke zu starten.
Er findet bei dir unter anderen die Dateien für die Datenbank (PMA) und will einen versuch starten , in diese auch einzudringen. Schaft er aber nicht, da die Fehlermeldung 302.
Diese steht für einen Übertragungsfehler.
Eigendlich macht jeder mal bekanntschaft mit einen solchen Scrip oder auch BOT bezeichnet.
Man unterscheidet einfach nur in Gute (Google, Yahoo usw) und in Böse.
Diese kann man als Böse einordnen, aber wenn ein Server immer Aktuell gehalten wird und auch ordentlich gesichert ist, dann bleibt diese vor der Tür.
Wie du diesen aber jetzt gezielt aussperren kannst, kann ich dir aussen Kopf grade auch nicht sagen, da hilft dir eher Google weiter oder versuch mal deinen Hoster zu fragen.
Intressantes zu Lesen dazu:
http://serversupp...siert.html
|
| |
|
|
|
|
| Panter |
Geschrieben am 07. Februar 2012 14:24:29
|
Stammgast
Posts: 122
Registriert seit: 03.02.09
Erfahrener BenutzerNächstes Level: 122/250
Scores: gesperrt
Verwarnstatus:
|
Hallo BabyTunes
Erst mal danke für deinen Beitrag.
Das was du geschrieben hast habe ich schon raus gefunden.
und weis nach meiner Forschungen das dieser Bot keine Gefahr für mich ist, da es keine Sicherheitslügen (nach den er sucht) bei mir nicht gibt.
Allerdings muss ich sagen nervt es tirisch, ich habe so ca zwischen 100 und 200 diser zugriefe von diesem Bot pro Tag!!!!
Zum einem habe ich das gefühl das dadurch meine Seite am larmen ist, und es spammt mir meine Logs voll.
Das was ich gepostet habe habe ich schon so mit Google herraus gefunden also das.
Code
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^MeinAgent [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Das soll ja nur so viel heißen wie wenn jemand mit der erkenung versucht auf der Domain zuzugreifen wird er automatisch zu localhost also http://127.0.0.1 geleitet.
Zum einem habe ich dann in der Log nur 1 Zugrief von den Bot und nicht mehr pro ankommen 10 oder 20 (kp wie viele es sind unten ist ja ein auszug)
Wenn ich nun einen Proxy benutze wo z.b. als erkenung stehst
und ich habe in meiner htaccess folgendes eintrage:
Code
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^Proxyname [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Dann werde ich zu der seite geschickt von wo der proxy kam.
nur da der bot ja
Code
77.38.12.98 - - [04/Feb/2012:23:59:38 +0100] "GET /muieblackcat HTTP/1.1" 302 498 "-" "-"
Funzt das überhaubt weil egal was ich rein schreibe funzt nicht der bot kann dennoch zugrief drauf nehmen, oder mache ich was falsch????
Lg. Panter
Mein Rechner:
AMD Athlon 2 X4 630
4 GB Ram
NIVIDIA GeForce 9500 GT 1024 MB
8 TB Festplatten Speicher
Und nein ich bin kein Zokker so was ist luxus |
| |
|
|
|
|
| DeeoNe |
Geschrieben am 07. Februar 2012 15:22:45
|
Anwender
Posts: 302
Registriert seit: 30.01.10
Halb-ProfiNächstes Level: 303/500
Scores: gesperrt
Verwarnstatus:
|
.htaccess IP Sperre
Code order allow,deny
allow from all
deny from **.**.**.**
deny from ***.***.***.***
Sie bekommen dan eine Error 403 Seite.
Oder man macht eine eigene oder leidet Sie sonst wo hin ;) auch mit der .htaccess
=
Code order allow,deny
allow from all
deny from **.**.**.**
deny from ***.***.***.***
ErrorDocument 403 http://www.google.de
Editiert von DeeoNe am 07. Februar 2012 15:25:44
|
| |
|
|
|
|
| Panter |
Geschrieben am 07. Februar 2012 15:36:08
|
Stammgast
Posts: 122
Registriert seit: 03.02.09
Erfahrener BenutzerNächstes Level: 122/250
Scores: gesperrt
Verwarnstatus:
|
Hallo DeeoNe
Erst mal danke für dein Post. diese Metode benutze ich auch schon es bringt mir aber rein garnix.
in meinem Ersten Post habe ich geschrieben.
Panter schrieb:
Die ganzen IP´s wie ich schon geschrieben habe sind alle sammt Proxy´s.
Lg. Panter
Wenn ich die ip´s bannen würde würde es mir
1. nix bringen weil es immer und immer wieder neue Ip´s sind.
2. währe ich nur noch mit eintragen beschäftigt und würde zu nix anderes mehr kommen.
Also fällt diese Metode schonmal leider aus.
Lg. Panter
Mein Rechner:
AMD Athlon 2 X4 630
4 GB Ram
NIVIDIA GeForce 9500 GT 1024 MB
8 TB Festplatten Speicher
Und nein ich bin kein Zokker so was ist luxus |
| |
|
