5
Was ist die Logik hinter solchen Webseitenaufrufen c6248f04ox148.edu ?
Hallo,
ich werte gerade ein paar Access-Logs von Webseiten mit Wordpress aus.
Dabei finde ich in den Logs relativ viele 404-Fehler (Seite nicht gefunden).
Relativ viele sind zwischen 1.500 und 15.000 Zugriffe pro Tag und damit mehr ca. 75% der Gesamtzugriffe auf diese Seiten.
Das Format ist immer so oder ähnlich.
Mit Endungen wie edu, com, gov, radio, etc.
Agentstring ist fast immer der SemrushBot aber teilweise auch bing oder der google-bot.
Die IPs passen zu den Bots.
Wenn Jemand versucht irgendwelche Plugins direkt aufzurufen oder Brute-Force auf die WP-Login zu gehen kann ich das ja verstehen.
Aber was sollen diese Aufrufen?
Nein, die Seite ist nicht gehackt und alle Zugriffe laufen in einen 404.
Das geht schon seit Monaten so und nimmt nicht ab.
Ich habe mal die IP des Bots geblockt. Die Anzahl der Zugriffsversuche nimmt dadurch nicht ab.
Die IPs in der Firewall zu blocken ist nicht so "einfach" da dies auch Bing und Google betreffen würde was der Sichtbarkeit der Webseite bestimmt schaden würde. Das Thema Bad-Bots ist ja ein relativ endloses.
Die Einzige Erklärung wäre für mich, dass die diese Dateien suchen die ein Virus/Trojaner/Wurm dort vorher abgelegt haben welche PHP-RATs enthalten. Aber dann müssten die doch irgendwan aufgeben.
Jemand eine Idee was der Gedanke hinter diese Zugriffen ist?
Viele Grüße
Stefan
ich werte gerade ein paar Access-Logs von Webseiten mit Wordpress aus.
Dabei finde ich in den Logs relativ viele 404-Fehler (Seite nicht gefunden).
Relativ viele sind zwischen 1.500 und 15.000 Zugriffe pro Tag und damit mehr ca. 75% der Gesamtzugriffe auf diese Seiten.
Das Format ist immer so oder ähnlich.
/c6248f04ox148.edu
/131h31o63oi174ubsbuat1f4f8.asp
/91xtw8h306a0d8/0bc94485a.gov
/767890c1pnoyvw19dubagvj8ks252.edu
/f4c7b8b17Zhawa207p-d/rq9b287b2p-d/rqkbqfRY81b797.glMit Endungen wie edu, com, gov, radio, etc.
Agentstring ist fast immer der SemrushBot aber teilweise auch bing oder der google-bot.
Die IPs passen zu den Bots.
Mozilla/5.0 (compatible; SemrushBot/6~bl; +http://www.semrush.com/bot.html)
Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)Wenn Jemand versucht irgendwelche Plugins direkt aufzurufen oder Brute-Force auf die WP-Login zu gehen kann ich das ja verstehen.
Aber was sollen diese Aufrufen?
Nein, die Seite ist nicht gehackt und alle Zugriffe laufen in einen 404.
Das geht schon seit Monaten so und nimmt nicht ab.
Ich habe mal die IP des Bots geblockt. Die Anzahl der Zugriffsversuche nimmt dadurch nicht ab.
Die IPs in der Firewall zu blocken ist nicht so "einfach" da dies auch Bing und Google betreffen würde was der Sichtbarkeit der Webseite bestimmt schaden würde. Das Thema Bad-Bots ist ja ein relativ endloses.
Die Einzige Erklärung wäre für mich, dass die diese Dateien suchen die ein Virus/Trojaner/Wurm dort vorher abgelegt haben welche PHP-RATs enthalten. Aber dann müssten die doch irgendwan aufgeben.
Jemand eine Idee was der Gedanke hinter diese Zugriffen ist?
Viele Grüße
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 609541
Url: https://administrator.de/contentid/609541
Printed on: April 16, 2024 at 16:04 o'clock
5 Comments
Latest comment
Ich habe gehackte Joomlas gesehen, bei denen die index.php Code enthielt, der auf diese URLs reagierte und dann spezielle Seiten (Phishing, Spam,...) auslieferte.
404 im Log ist nicht zwingend ein sicherer Indikator dafür, dass da nichts ist - denn selbst wenn HTTP-Status 404 gesetzt wird, kann ja trotzdem ungewünschter Inhalt ausgeliefert werden.
Prüfe auch mal zur Sicherheit, ob derartige URLs jemals einen anderen Code als 404 geliefert haben. Teilweise funktionieren diese nur, wenn ein bestimmter Referrer oder Cookie gesetzt ist.
404 im Log ist nicht zwingend ein sicherer Indikator dafür, dass da nichts ist - denn selbst wenn HTTP-Status 404 gesetzt wird, kann ja trotzdem ungewünschter Inhalt ausgeliefert werden.
Prüfe auch mal zur Sicherheit, ob derartige URLs jemals einen anderen Code als 404 geliefert haben. Teilweise funktionieren diese nur, wenn ein bestimmter Referrer oder Cookie gesetzt ist.
Jemand eine Idee was der Gedanke hinter diese Zugriffen ist?
Normales Malware Grundrauschen bei Wordpress Instanzen.Will man das nicht sollte man kein Wordpress einsetzen, dazu ist Wordpress einfach zu verlockend für Hacker.
Wie LordGurke schon erwähnt hat, verstecken sich solche Skripte indem sie nur auf solche URLs reagieren und meist auch nur wenn Referer und/oder Cookies entsprechend gesetzt sind.
Zitat von @StefanKittel:
Die IPs in der Firewall zu blocken ist nicht so "einfach" da dies auch Bing und Google betreffen würde was der Sichtbarkeit der Webseite bestimmt schaden würde. Das Thema Bad-Bots ist ja ein relativ endloses.
Ich hab für solche Fälle einen NGINX vorgeschaltet, damit bleiben die Logs immer schön sauber.Die IPs in der Firewall zu blocken ist nicht so "einfach" da dies auch Bing und Google betreffen würde was der Sichtbarkeit der Webseite bestimmt schaden würde. Das Thema Bad-Bots ist ja ein relativ endloses.
https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker
https://github.com/SpiderLabs/ModSecurity-nginx
Die guten ins Körbchen, die schlechten bekommen ein http 444 serviert.
Gruß Spec.
Zitat von @146189:
Normales Malware Grundrauschen bei Wordpress Instanzen.
Normales Malware Grundrauschen bei Wordpress Instanzen.
Naja, da muss aber was (gewesen) sein, sonst würden Bing und Google das nicht abfragen.
Und das sind keine URLs, die zum Grundrauschen gehören — da siehst du konkret, gegen welche Plugins resp. Sicherheitslücken gefragt wird.
Diese URLs und die Tatsache, dass sogar der echte Googlebot danach fragen ist ein sehr eindeutiges Merkmal einer erfolgten Infektion.
@StefanKittel: Du kannst dir ja mal mit einer Suche über "site:deinedomain.tld" die Suchmaschineninhalte zu deiner Domain listen lassen, im Speziellen die Verweise darauf.
Nach einigen Analysen der malware "Emotet": Dort werden auf gehackten Seiten mit solchen zufälligen Pfadnamen die exe-Dateien abgelegt. Ein einfacher Test die Seite mit dem Browser aufzurufen: Wenn es Emotet war, sollte die Blacklist von Google anspringen.
