Angriff auf meinen Web Server
Guten Tag.
Nachdem ich nun selbst einige Recherchen angestellt habe jedoch nur unbefriedigende Ergebnisse erzielen konnte, wende ich mich nun vertrauensvoll an euch.
Ich erkläre nun erst die Umstände.
Ich habe bei mir zu hause einen Kabel DSL Zugang den ich mit einem Router auf mein Kleines Netzwerk Verteile. Des weiteren habe ich einen XP Rechner der den Ganzen Tag läuft mit einem Webserver Marke IIS und einem G6 FTP versehen.
Auf dem besagten Rechner Läuft meine Webseite, über das im Router eingerichtete DYN DNS und die Portweiterleitung erhält der jenige der möchte zugriff auf meine Seite und mit den entsprechenden Zugangsdaten auch auf meinen FTP.
Natürlich Logge ich alle zugriffe mit, weil ich gerne sehe wer was wo wann anschaut oder hoch/runterläd.
Vor einiger Zeit wurde mein FTP mit einer "Brute Force Attacke" (könnt mich vertippt haben) angegriffen. Jedoch endete es nach dem Kick/ Bann der IP.
Jedoch als ich vor einigen Tagen meine http Loggs durchging wurde auf folgende einträge aufmerksam:
15:56:59 91.64.143.15 GET /lib/activeutil.php 404
16:00:42 91.64.176.89 GET /index.html 200
16:00:42 91.64.176.89 GET /index.html 200
16:03:17 91.64.176.89 GET /index.html 200
16:07:50 91.64.140.147 GET /lib/activeutil.php 404
16:14:12 91.64.164.150 GET /lib/activeutil.php 404
16:19:37 91.64.176.89 GET /index.html 200
16:19:37 91.64.176.89 GET /index.html 200
16:30:24 91.64.202.170 GET /level/16/exec/-/pwd 404
16:34:41 91.64.214.27 GET /level/16/exec/-/pwd 404
16:37:35 91.64.197.117 GET /level/16/exec/-/pwd 404
16:47:59 91.64.21.131 GET /lib/activeutil.php 404
16:49:34 91.64.43.5 GET /lib/activeutil.php 404
17:08:50 91.64.164.150 GET /lib/activeutil.php 404
17:15:41 91.64.214.50 GET /level/16/exec/-/pwd 404
17:23:46 91.64.143.15 GET /lib/activeutil.php 404
17:32:37 91.64.214.50 GET /level/16/exec/-/pwd 404
Und das hat mich sofort stutzig gemacht. Die Seite /index.html ist natürlich auf meinem Server vorhanden, die Seiten /level/16/exec/-/pwd oder /lib/activeutil.php jedoch nicht.
Zuerst dachte ich das jemand einfach nur versucht Dateien aufzurufen. Willkürlich, in der Hoffnung das er auf irgendeine zugriff erlangt. Jedoch passieren diese Zugriffe zwei bis drei mal pro Tag.
Aus einem Amerikanischen Forum konnte ich entnehmen das es sich wohl hier um einen Scan handelt, der speziell auf Cisco Hardware ausgerichtet ist.
Kann das sein?
Ich verwende keine Cisco Komponenten, also was soll das dann?!
In dem besagten Amerikanischen Forum stand das man die angreifende IP blocken soll.
Geht das direkt über IIS? Oder ist hier zusätzliche Hard/Software erforderlich?
Augenscheinlich handelt es sich ja um jemanden der seine IP ständig im bereich von 91.64.xxx.xxx ändert.
Kann ich einen ganzen IP Bereich Blocken? Was geschieht dann mit Usern im selben IP bereich die Gutmütig meine Seite besuchen wollen?
Wenn ich mir das so recht überlege würde mich mal interessieren was auf den anderen Ports los ist. Ist es irgendwie möglich alle zugriffe von außen zu loggen?
Wenn jemand noch andere Foren kennt wo solche Themen diskutiert werden wäre ich auch dankbar.
Ich bedanke und freue mich jetzt schon auf eure Antworten.
Nachdem ich nun selbst einige Recherchen angestellt habe jedoch nur unbefriedigende Ergebnisse erzielen konnte, wende ich mich nun vertrauensvoll an euch.
Ich erkläre nun erst die Umstände.
Ich habe bei mir zu hause einen Kabel DSL Zugang den ich mit einem Router auf mein Kleines Netzwerk Verteile. Des weiteren habe ich einen XP Rechner der den Ganzen Tag läuft mit einem Webserver Marke IIS und einem G6 FTP versehen.
Auf dem besagten Rechner Läuft meine Webseite, über das im Router eingerichtete DYN DNS und die Portweiterleitung erhält der jenige der möchte zugriff auf meine Seite und mit den entsprechenden Zugangsdaten auch auf meinen FTP.
Natürlich Logge ich alle zugriffe mit, weil ich gerne sehe wer was wo wann anschaut oder hoch/runterläd.
Vor einiger Zeit wurde mein FTP mit einer "Brute Force Attacke" (könnt mich vertippt haben) angegriffen. Jedoch endete es nach dem Kick/ Bann der IP.
Jedoch als ich vor einigen Tagen meine http Loggs durchging wurde auf folgende einträge aufmerksam:
15:56:59 91.64.143.15 GET /lib/activeutil.php 404
16:00:42 91.64.176.89 GET /index.html 200
16:00:42 91.64.176.89 GET /index.html 200
16:03:17 91.64.176.89 GET /index.html 200
16:07:50 91.64.140.147 GET /lib/activeutil.php 404
16:14:12 91.64.164.150 GET /lib/activeutil.php 404
16:19:37 91.64.176.89 GET /index.html 200
16:19:37 91.64.176.89 GET /index.html 200
16:30:24 91.64.202.170 GET /level/16/exec/-/pwd 404
16:34:41 91.64.214.27 GET /level/16/exec/-/pwd 404
16:37:35 91.64.197.117 GET /level/16/exec/-/pwd 404
16:47:59 91.64.21.131 GET /lib/activeutil.php 404
16:49:34 91.64.43.5 GET /lib/activeutil.php 404
17:08:50 91.64.164.150 GET /lib/activeutil.php 404
17:15:41 91.64.214.50 GET /level/16/exec/-/pwd 404
17:23:46 91.64.143.15 GET /lib/activeutil.php 404
17:32:37 91.64.214.50 GET /level/16/exec/-/pwd 404
Und das hat mich sofort stutzig gemacht. Die Seite /index.html ist natürlich auf meinem Server vorhanden, die Seiten /level/16/exec/-/pwd oder /lib/activeutil.php jedoch nicht.
Zuerst dachte ich das jemand einfach nur versucht Dateien aufzurufen. Willkürlich, in der Hoffnung das er auf irgendeine zugriff erlangt. Jedoch passieren diese Zugriffe zwei bis drei mal pro Tag.
Aus einem Amerikanischen Forum konnte ich entnehmen das es sich wohl hier um einen Scan handelt, der speziell auf Cisco Hardware ausgerichtet ist.
Kann das sein?
Ich verwende keine Cisco Komponenten, also was soll das dann?!
In dem besagten Amerikanischen Forum stand das man die angreifende IP blocken soll.
Geht das direkt über IIS? Oder ist hier zusätzliche Hard/Software erforderlich?
Augenscheinlich handelt es sich ja um jemanden der seine IP ständig im bereich von 91.64.xxx.xxx ändert.
Kann ich einen ganzen IP Bereich Blocken? Was geschieht dann mit Usern im selben IP bereich die Gutmütig meine Seite besuchen wollen?
Wenn ich mir das so recht überlege würde mich mal interessieren was auf den anderen Ports los ist. Ist es irgendwie möglich alle zugriffe von außen zu loggen?
Wenn jemand noch andere Foren kennt wo solche Themen diskutiert werden wäre ich auch dankbar.
Ich bedanke und freue mich jetzt schon auf eure Antworten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 48333
Url: https://administrator.de/contentid/48333
Ausgedruckt am: 25.11.2024 um 07:11 Uhr
3 Kommentare
Neuester Kommentar
Herzlich willkommen im Club ....
Das dürfte ein versuchter Scan mit einem Hackertool sein (nmap oder auch andere).
Von solchen Scans sind praktisch alle offenen Webserver betroffen. Die Tools versuchen alle möglichen Komponenten auf Deinem Server zu entdecken um dann Schwachstellen auszunutzen - falls welche da sind.
Daher rate ich auch öffentlich zugänglichen Servern zu maximaler Sicherheit. IIS ist mir persönlich zu undurchschaubar um das Ding sicher machen zu können. Beim Apache schlafe ich da ruhiger (aber auch der ist nicht perfekt).
Das dürfte ein versuchter Scan mit einem Hackertool sein (nmap oder auch andere).
Von solchen Scans sind praktisch alle offenen Webserver betroffen. Die Tools versuchen alle möglichen Komponenten auf Deinem Server zu entdecken um dann Schwachstellen auszunutzen - falls welche da sind.
Daher rate ich auch öffentlich zugänglichen Servern zu maximaler Sicherheit. IIS ist mir persönlich zu undurchschaubar um das Ding sicher machen zu können. Beim Apache schlafe ich da ruhiger (aber auch der ist nicht perfekt).
Hm, also erst mal wirst Du in meiner Antwort hier keine Hilfe erhalten, weil Du Deine Frage in die falsche Rubrik gesetzt hast. In Zukunft ein wenig besser aufpassen... :-p
Zweitens: der Hinweis auf nmap, sorry, aber das soll ja wohl ein Witz sein, oder?
Scan ist in diesem Falle schon der richtige Ausdruck; aber unterbinden...???
Drittens: IIS hin, Apache her, beide sind genauso gut/schlecht, es kommt immer nur auf die Konfiguration an. Aber da es hier ja heißt, "Mir persönlich" dulde ich das noch mal
Viertens: Ein Server ist kein Spielzeug für Hobby-Admins.
Sollte jetzt der Spruch kommen: Ich hab MC-irgendwas, interessiert mich nicht die Bohne.
Wenn man einen IIS administriert, weiß man, wie man andere Ports überwacht, wie man so Zugriffsversuche mitlogt, wie man gewisse Schutzmechanismen einbaut, etc...
Gruß
Lonesome Walker
Mod Webserver, Mod Hacker & Co.
PS: Die Dinger heißen Cisco...
edit:
Wenigstens hast Du jetzt von Sisco auf Cisco geändert...
Zweitens: der Hinweis auf nmap, sorry, aber das soll ja wohl ein Witz sein, oder?
Scan ist in diesem Falle schon der richtige Ausdruck; aber unterbinden...???
Drittens: IIS hin, Apache her, beide sind genauso gut/schlecht, es kommt immer nur auf die Konfiguration an. Aber da es hier ja heißt, "Mir persönlich" dulde ich das noch mal
Viertens: Ein Server ist kein Spielzeug für Hobby-Admins.
Sollte jetzt der Spruch kommen: Ich hab MC-irgendwas, interessiert mich nicht die Bohne.
Wenn man einen IIS administriert, weiß man, wie man andere Ports überwacht, wie man so Zugriffsversuche mitlogt, wie man gewisse Schutzmechanismen einbaut, etc...
Gruß
Lonesome Walker
Mod Webserver, Mod Hacker & Co.
PS: Die Dinger heißen Cisco...
edit:
Wenigstens hast Du jetzt von Sisco auf Cisco geändert...
Hallo abgemeldetes Mitglied (die Wahrscheinlichkeit, dass du diesen Post liest, dürfte recht gering sein, fürchte ich=
Zitat: Wenn man einen IIS administriert, weiß man...
Also - wenn man alles schon weiß, wozu brauchen wir dann noch diesen Austausch untereinander?
Nicht sehr hilfreich...
Also, ich verzeichne regelmäßig Brute-Force-Angriffe auf meinen FTP-Server.
Mit Bordmitteln habe ich bisher nicht geschafft, diesem Problem Herr zu werden.
Und mich interessiert schon, ob es da Möglichkeiten gibt.
Viele Grüße
Ingo
Zitat: Wenn man einen IIS administriert, weiß man...
Also - wenn man alles schon weiß, wozu brauchen wir dann noch diesen Austausch untereinander?
Nicht sehr hilfreich...
Also, ich verzeichne regelmäßig Brute-Force-Angriffe auf meinen FTP-Server.
Mit Bordmitteln habe ich bisher nicht geschafft, diesem Problem Herr zu werden.
Und mich interessiert schon, ob es da Möglichkeiten gibt.
Viele Grüße
Ingo