itproject
Goto Top

Verdächtige Aktivitäten Apache Access.log

Hallo zusammen,

habe verdächtige Aktivitäten in meinem Apache2 access.log festgestellt:

46.51.221.69 - - [27/May/2013:22:27:40 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 401 695 "-" "ZmEu"  
46.51.221.69 - - [27/May/2013:22:27:40 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 401 695 "-" "ZmEu"  
46.51.221.69 - - [27/May/2013:22:27:41 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 401 695 "-" "ZmEu"  
46.51.221.69 - - [27/May/2013:22:27:42 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 401 695 "-" "ZmEu"  
46.51.221.69 - - [27/May/2013:22:27:42 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 401 695 "-" "ZmEu"  
46.51.221.69 - - [27/May/2013:22:27:43 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 401 695 "-" "ZmEu"  
46.166.169.214 - - [27/May/2013:22:40:21 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 516 "-" "-"  

Da versucht wohl jemand ein paar Dateien von meinem Server zu holen, die nicht für ihn bestimmt sind.

Habe eine .htaccess aktiviert, ich hoffe das reicht um zumindest den Erfolgreichen "GET" auf die entsprechende Datei zu verweigern.


Hat jemand eine Idee, wie man Sich vor solchen Hackern schützen kann etc?

Danke im Voraus!

Itproject.

Content-ID: 207163

Url: https://administrator.de/forum/verdaechtige-aktivitaeten-apache-access-log-207163.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 28.05.2013 aktualisiert um 17:29:05 Uhr
Goto Top
moin,

Da schaut einfach einer, ob Dein System verwundbar ist. Wenn Du keine Verwundbare PHP/MyPHPAdmin-Installation draufhast, kannst Du das ignorieren.

lks

Nachtrag: benutzt Ihr zufällig metasploit? Das "macht" auch solche Einträge.

PS. Die Anfragen kommen übrigens aus der Amazon-cloud. Da scheint einer metasploit auszuprobieren. face-smile
16568
16568 29.05.2013 um 08:10:00 Uhr
Goto Top
Zitat von @itproject:
Hat jemand eine Idee, wie man Sich vor solchen Hackern schützen kann etc?

fail2ban


Lonesome Walker