Hackangriff?

leonlizard · 08.05.2013

Also, ich mache im Moment Praktikum während der Schulzeit bei einer kleinen Softwarefirma. Nach den Vermutungen des Admins gab es heute Angriffe auf den Server, wo alle Daten und Website sind. Jetzt würde ich das aber gerne mal bestätigt haben und er auch...
Hier die Logs (IP ist mit x-en ausgeblendet)

Code:

xx.xxx.xxx.x - - [08/May/2013:01:37:34 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:34 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:34 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:35 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:35 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:36 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:36 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:39 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:40 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:49 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:50 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:50 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:51 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:38:21 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401

Das geht halt fast endlos so weiter...
Falls es noch irgendeine Rolle spielt, das Wordpress-Login ist nur für bestimmte IPs freigeschaltet.
Danke schonmal im Vorraus

LG
leonlizard

sebhoff · 08.05.2013

HTTP 200 bedeutet doch OK also wird die Seite aufgerufen.
nach der Geschwindigkeit sieht's aus wie ein Script, da hat man aber zuwenig Infos.

du könntest vllt deine Apache Logs noch etwas ausführlicher gestalten.
http://httpd.apache.org/docs/2.2/mod/mod_log_config.html

auch gibt's glaub ich für wordpress nen Login attemp Limit Plugin.
http://wordpress.org/extend/plugins/limit-login-attempts/

ach, und ip Adresse mal bei ripe.net suchen.

themeniac · 08.05.2013

Frag deinen Admin ob es sich um einen Scherz handelt - ansonsten Plan B

leonlizard · 08.05.2013

sebhoff schrieb:
HTTP 200 bedeutet doch OK also wird die Seite aufgerufen.
nach der Geschwindigkeit sieht's aus wie ein Script, da hat man aber zuwenig Infos.

du könntest vllt deine Apache Logs noch etwas ausführlicher gestalten.
http://httpd.apache.org/docs/2.2/mod/mod_log_config.html

auch gibt's glaub ich für wordpress nen Login attemp Limit Plugin.
http://wordpress.org/extend/plugins/limit-login-attempts/

ach, und ip Adresse mal bei ripe.net suchen.

Danke schonmal

themeniac schrieb:
Frag deinen Admin ob es sich um einen Scherz handelt - ansonsten Plan B

Nee, ist kein Scherz. :grins:

Sonst noch irgendwelche Vermutungen/Tipps?

sebhoff · 08.05.2013

leonlizard schrieb:
Danke schonmal

Nee, ist kein Scherz. :grins:

Sonst noch irgendwelche Vermutungen/Tipps?

besseres loggen.

so ist das einfach ein http Aufruf von de ip xxx

das kann viel sein.
jemand der sein pw vergessen hat, bots oder eben doch Bf Attacken.

Helge · 08.05.2013

einfach nach zu vielen Fehlversuchen die IP sperren

Egal88 · 09.05.2013

Ich denke, die IPs hat Leon ge"x"t...
Das ist ein Script bzw. ein Bot, der im Sekundentakt die Seite aufruft (GET) und vermutlich verschiedene Zugangsdaten ausprobiert (PUT).
Die Seite wurde also definitiv aufgerufen, in der WP-Login-Datenbank müssten sich hunderte/tausende Fehlversuche finden. Eventuell kann das auch die Suche nach einer Software-Lücke sein.

Für mich ein Indiz, schleunigst zu reagieren und z.B. die Anzahl der möglichen Versuche zu begrenzen, also die Zeiten bis zum nächsten möglichen Login zu verlängern, oder bei IP-Adressen aus "Schurkenstaaten" (Russland, China, Indien, Pakistan, ggf. auch USA) diese IPs zu sperren.

leonlizard · 09.05.2013

Egal88 schrieb:
Ich denke, die IPs hat Leon ge"x"t...
Das ist ein Script bzw. ein Bot, der im Sekundentakt die Seite aufruft (GET) und vermutlich verschiedene Zugangsdaten ausprobiert (PUT).
Die Seite wurde also definitiv aufgerufen, in der WP-Login-Datenbank müssten sich hunderte/tausende Fehlversuche finden. Eventuell kann das auch die Suche nach einer Software-Lücke sein.

Für mich ein Indiz, schleunigst zu reagieren und z.B. die Anzahl der möglichen Versuche zu begrenzen, also die Zeiten bis zum nächsten möglichen Login zu verlängern, oder bei IP-Adressen aus "Schurkenstaaten" (Russland, China, Indien, Pakistan, ggf. auch USA) diese IPs zu sperren.

Danke, werds dem admin sagen. Ja, die IP kommt sogar aus Russland :grins:

Egal88 · 10.05.2013

Ich habe mal einen Webserver administriert und zunächst Angriffe von einer bestimmten IP registriert. Die hab ich dann in der Firewall gesperrt, einen Tag später kam die nächste IP aus dem gleichen Subnetz. Nach deren Sperre die dritte aus einem anderen Bereich des gleichen Subnetzes. Letztlich musste ich das ganze Subnetz sperren.
Wenn euer Server einen Admin-Zugriff auf einem anderen Port hat, achtet darauf, dass auch dieser Admin-Zugang diese IPs nicht zulässt. Und haltet eure WP-Software auf dem neuesten Patchlevel - gerade Datenbanken werden gerne mit SQL-Injections kompromittiert.

sebhoff · 10.05.2013

Egal88 schrieb:
Ich habe mal einen Webserver administriert und zunächst Angriffe von einer bestimmten IP registriert. Die hab ich dann in der Firewall gesperrt, einen Tag später kam die nächste IP aus dem gleichen Subnetz. Nach deren Sperre die dritte aus einem anderen Bereich des gleichen Subnetzes. Letztlich musste ich das ganze Subnetz sperren.
Wenn euer Server einen Admin-Zugriff auf einem anderen Port hat, achtet darauf, dass auch dieser Admin-Zugang diese IPs nicht zulässt. Und haltet eure WP-Software auf dem neuesten Patchlevel - gerade Datenbanken werden gerne mit SQL-Injections kompromittiert.

geht doch automatisch...
http://www.fail2ban.org/wiki/index.php/Main_Page :winken:

Hackangriff?

leonlizard

sebhoff

themeniac

leonlizard

sebhoff

Helge

Egal88

leonlizard

Egal88

sebhoff

Hackangriff?

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums