Hackangriff?

Diskutiere Hackangriff? im Security-Zone - Sicherheitslücken, Virenschutz Forum im Bereich Hardware & Software Forum; Also, ich mache im Moment Praktikum während der Schulzeit bei einer kleinen Softwarefirma. Nach den Vermutungen des Admins gab es heute Angriffe...
  • Hackangriff? Beitrag #1
leonlizard

leonlizard

Bekanntes Mitglied
Dabei seit
21.03.2011
Beiträge
908
Reaktionspunkte
2
Ort
noname city
Also, ich mache im Moment Praktikum während der Schulzeit bei einer kleinen Softwarefirma. Nach den Vermutungen des Admins gab es heute Angriffe auf den Server, wo alle Daten und Website sind. Jetzt würde ich das aber gerne mal bestätigt haben und er auch...
Hier die Logs (IP ist mit x-en ausgeblendet)

Code:
xx.xxx.xxx.x - - [08/May/2013:01:37:34 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:34 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:34 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:35 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:35 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:36 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:36 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:39 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:40 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:49 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:50 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:50 +0200] "POST /wp-login.php HTTP/1.0" 200 3378 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:37:51 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
xx.xxx.xxx.x - - [08/May/2013:01:38:21 +0200] "GET /wp-login.php HTTP/1.0" 200 2436 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401

Das geht halt fast endlos so weiter...
Falls es noch irgendeine Rolle spielt, das Wordpress-Login ist nur für bestimmte IPs freigeschaltet.
Danke schonmal im Vorraus :)

LG
leonlizard
 
  • Hackangriff? Beitrag #2
sebhoff

sebhoff

Bekanntes Mitglied
Dabei seit
07.09.2006
Beiträge
5.209
Reaktionspunkte
2
  • Hackangriff? Beitrag #3
themeniac

themeniac

nicht zu ändern
Dabei seit
27.06.2001
Beiträge
814
Reaktionspunkte
0
Ort
v
Frag deinen Admin ob es sich um einen Scherz handelt - ansonsten Plan B :)
 
  • Hackangriff? Beitrag #4
leonlizard

leonlizard

Bekanntes Mitglied
Dabei seit
21.03.2011
Beiträge
908
Reaktionspunkte
2
Ort
noname city
HTTP 200 bedeutet doch OK also wird die Seite aufgerufen.
nach der Geschwindigkeit sieht's aus wie ein Script, da hat man aber zuwenig Infos.

du könntest vllt deine Apache Logs noch etwas ausführlicher gestalten.
http://httpd.apache.org/docs/2.2/mod/mod_log_config.html

auch gibt's glaub ich für wordpress nen Login attemp Limit Plugin.
http://wordpress.org/extend/plugins/limit-login-attempts/

ach, und ip Adresse mal bei ripe.net suchen.

Danke schonmal :)

Frag deinen Admin ob es sich um einen Scherz handelt - ansonsten Plan B :)

Nee, ist kein Scherz. :grins:


Sonst noch irgendwelche Vermutungen/Tipps?
 
  • Hackangriff? Beitrag #5
sebhoff

sebhoff

Bekanntes Mitglied
Dabei seit
07.09.2006
Beiträge
5.209
Reaktionspunkte
2
Danke schonmal :)



Nee, ist kein Scherz. :grins:


Sonst noch irgendwelche Vermutungen/Tipps?

besseres loggen.

so ist das einfach ein http Aufruf von de ip xxx

das kann viel sein.
jemand der sein pw vergessen hat, bots oder eben doch Bf Attacken.
 
  • Hackangriff? Beitrag #7
Egal88

Egal88

Super-Moderator & Mr. Powerforen 2012
Teammitglied
Dabei seit
13.05.2000
Beiträge
10.828
Reaktionspunkte
4
Ort
hinter'm Mond ...
Ich denke, die IPs hat Leon ge"x"t...
Das ist ein Script bzw. ein Bot, der im Sekundentakt die Seite aufruft (GET) und vermutlich verschiedene Zugangsdaten ausprobiert (PUT).
Die Seite wurde also definitiv aufgerufen, in der WP-Login-Datenbank müssten sich hunderte/tausende Fehlversuche finden. Eventuell kann das auch die Suche nach einer Software-Lücke sein.

Für mich ein Indiz, schleunigst zu reagieren und z.B. die Anzahl der möglichen Versuche zu begrenzen, also die Zeiten bis zum nächsten möglichen Login zu verlängern, oder bei IP-Adressen aus "Schurkenstaaten" (Russland, China, Indien, Pakistan, ggf. auch USA) diese IPs zu sperren.
 
  • Hackangriff? Beitrag #8
leonlizard

leonlizard

Bekanntes Mitglied
Dabei seit
21.03.2011
Beiträge
908
Reaktionspunkte
2
Ort
noname city
Ich denke, die IPs hat Leon ge"x"t...
Das ist ein Script bzw. ein Bot, der im Sekundentakt die Seite aufruft (GET) und vermutlich verschiedene Zugangsdaten ausprobiert (PUT).
Die Seite wurde also definitiv aufgerufen, in der WP-Login-Datenbank müssten sich hunderte/tausende Fehlversuche finden. Eventuell kann das auch die Suche nach einer Software-Lücke sein.

Für mich ein Indiz, schleunigst zu reagieren und z.B. die Anzahl der möglichen Versuche zu begrenzen, also die Zeiten bis zum nächsten möglichen Login zu verlängern, oder bei IP-Adressen aus "Schurkenstaaten" (Russland, China, Indien, Pakistan, ggf. auch USA) diese IPs zu sperren.

Danke, werds dem admin sagen. Ja, die IP kommt sogar aus Russland :grins:
 
  • Hackangriff? Beitrag #9
Egal88

Egal88

Super-Moderator & Mr. Powerforen 2012
Teammitglied
Dabei seit
13.05.2000
Beiträge
10.828
Reaktionspunkte
4
Ort
hinter'm Mond ...
Ich habe mal einen Webserver administriert und zunächst Angriffe von einer bestimmten IP registriert. Die hab ich dann in der Firewall gesperrt, einen Tag später kam die nächste IP aus dem gleichen Subnetz. Nach deren Sperre die dritte aus einem anderen Bereich des gleichen Subnetzes. Letztlich musste ich das ganze Subnetz sperren.
Wenn euer Server einen Admin-Zugriff auf einem anderen Port hat, achtet darauf, dass auch dieser Admin-Zugang diese IPs nicht zulässt. Und haltet eure WP-Software auf dem neuesten Patchlevel - gerade Datenbanken werden gerne mit SQL-Injections kompromittiert.
 
  • Hackangriff? Beitrag #10
sebhoff

sebhoff

Bekanntes Mitglied
Dabei seit
07.09.2006
Beiträge
5.209
Reaktionspunkte
2
Ich habe mal einen Webserver administriert und zunächst Angriffe von einer bestimmten IP registriert. Die hab ich dann in der Firewall gesperrt, einen Tag später kam die nächste IP aus dem gleichen Subnetz. Nach deren Sperre die dritte aus einem anderen Bereich des gleichen Subnetzes. Letztlich musste ich das ganze Subnetz sperren.
Wenn euer Server einen Admin-Zugriff auf einem anderen Port hat, achtet darauf, dass auch dieser Admin-Zugang diese IPs nicht zulässt. Und haltet eure WP-Software auf dem neuesten Patchlevel - gerade Datenbanken werden gerne mit SQL-Injections kompromittiert.

geht doch automatisch...
http://www.fail2ban.org/wiki/index.php/Main_Page :winken:
 
Thema:

Hackangriff?

ANGEBOTE & SPONSOREN

https://www.mofapower.de/

Statistik des Forums

Themen
213.186
Beiträge
1.579.189
Mitglieder
55.886
Neuestes Mitglied
bolle4k
Oben