Announcement

Collapse
No announcement yet.

Könnte das ein Hacker sein?

Collapse
X
Collapse
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Könnte das ein Hacker sein?

    Liebe Security-Experten,

    ich wäre Euch sehr dankbar, wenn Ihr mir bei folgender Angelegenheit einige Anregungen liefern könntet. Ich habe seit einiger Zeit eine Web-Seite am Start. Ich protokolliere sämtliche Aufrufe mit IP-Adresse und stelle fest, dass ein und dieselbe IP-Adresse seit Wochen regelmäßig Tag und Nacht etwa alle 30-40 Minuten darauf zugreift. Immer nur genau ein Zugriff, keine weitere Navigation auf der Seite. Laut Internet sitzt der Urheber der Zugriffe irgendwo in Russland. Was könnte der Sinn und Zweck dieser Zugriffe sein? Man kann sich zwar einen User-Account anlegen, aber die Seite ist nicht wirklich spektakulär, da gibt's eigentlich nichts zu hacken.

    Hintergrund-Infos: Meine Software vergibt schon beim Initial-Zugriff auf die Webseite eine Session-ID, die der User während seines Besuchs behält (eigengestrickte Logik). Versucht da jemand hinter eine Regelmäßigkeit in der Session-ID Generierung zu kommen, oder könnte der Hintergrund viel unspektakulärer sein?

    Viele Grüße,
    Duftox
    Tags: hacker, regelmäßige zugriffe
  • #2
    Das könnte evtl. auch ein Roboter eine Suchmaschine sein. Solange der nur einmal drauf zugreift würde ich mir keine Gedanken machen. Hacker würden sich mit Sicherheit anders bemerkbar machen

    Comment

    • #3
      Dann blocke die IP per .htaccess
      Christian

      Comment

      • #4
        Ihr habt natürlich Recht, allzuviele Sorgen mache ich mir deshalb auch nicht. Schon alleine deshalb, weil es nichts wirklich zu hacken gibt. Selbst wenn mir einer die gesamte Seite wegputzen würde, würde ich halt alles wieder hochladen. Insofern bin ich schon ziemlich entspannt. Mich interessieren einfach nur die Hintergründe. Eine Suchmaschine kann es doch eigentlich nicht sein, oder? Die würde doch die gesamte Seite mit allen Unterlinks scannen. Und ein Robot, der z.B. nach Email-Adressen sucht, der würde doch auch die gesamte Seite scannen. Und beides würde auch nicht wochenlang relativ regelmäßig alle 40 Minuten vorbei schauen. Ein Mensch kann es aber auch nicht sein, der würde ebenfalls nicht Tag und Nacht die Seite aufrufen ;-) Aber da es ja passiert, muss es doch irgendeinen Hintergrund geben, warum das doch jemanden tut. Und dieser Hintergrund würde mich interessieren.

        Comment

        • #5
          Hallo Duftox,
          wenn du dir sicher bist das nichts passieren kann, dann solltest du nicht zu oft in die Logfiles sehen Das wird mit Sicherheit noch viel mehr werden!
          Was wird denn abgerufen? Immer dieselbe Seite oder systematisch die gesamte Linkstruktur? Letzteres wäre typisch für eine Suchmaschine, die das Angebot Seitenweise in Abständen einliest, um nicht punktuelle Lastspitzen auf deiner Webseite zu verursachen oder als DOS-Atacke gewertet zu werden.
          Wenn es immer diesselbe Seite ist, welche ist es dann? Ein Kontaktformular oder Gästebuch liese da sicher eher Rückschlüsse auf das Ansinnen des Besuchers zu, als z.B. nur die Startseite.
          Werden ungewöhnliche Parameter per GET übergeben oder wird die Seite gar per POST abgerufen? Als was identifiziert sich der Besucher, also welcher HTTP_AGENT wird übermittelt? Ist es eine BOT- oder SUMA-Kennung oder "tarnt" er sich als normaler Browser?

          Gruß Falk
          Wenn du denkst du hast alle Bugs gefunden, dann ist das ein Bug in deiner Denksoftware.

          Quellcode ohne ein Mindestmaß an Formatierung sehe ich mir nicht an! Ich leiste keinen Privatsupport per Mail oder PN!

          Comment

          • #6
            Hallo Falk,

            vielen Dank für die wertvollen Stichworte. Den HTTP_AGENT zeichne ich momentan nicht auf. Alles bei mir ist selbstgestrickt und ich habe quasi überhaupt keine Ahnung davon ;-) Ich werde als erstes eine Anpassung machen, um diese Daten ebenfalls aufzuzeichnen. Ich kann außerdem gar keine Aussage dazu machen, ob wirklich immer die Start-Seite aufgerufen wird. Wenn ich einen Initial-Zugriff verzeichne, also einen Zugriff ohne mitgelieferte Session-ID, dann wird automatisch die Start-Seite vorgeblendet, auch wenn der User einen tieferen Pfad oder Parameter mitgeliefert hat. Ich werde wohl demnach nicht drum herum kommen, mir den SCRIPT_FILENAME ebenfalls näher anzuschauen und aufzuzeichnen. Diese Erweiterungen werde ich erst mal vornehmen und beobachten, ob mich die zusätzlichen Informationen weiter bringen. Vielleicht melde ich mich dann in einiger Zeit hierzu noch mal. Nochmals Danke,

            Gruß Duftox

            Comment

            • #7
              Warum schaust du nicht in die Access-Logs deines Servers?
              Christian

              Comment

              • #8
                Hi Christian,

                auch Dir herzlichen Dank. Das Leben kann so einfach sein, wenn man weiß wie ;-)

                Hier ein Beispiel-Eintrag der bewussten IP: 95.108.248.29 - - [10/Nov/2012:16:37:26 +0100] "GET /runtime/mod/strobj.php?parastr=100003PMFljE9Yonh7AFixNtC201210 13030515&obj=openMSG_za1 HTTP/1.1" 200 2788 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"

                Falk hatte Recht, es werden immer andere Seiten aufgerufen. Im Beispiel wird z.B. der Parameter "&obj=openMSG_za1" übergeben und somit die Message ZA1 angezeigt. In den anderen Einträgen ist es etwas anderes. Der Yandex-Bot scheint also ein fleißiges Kerlchen zu sein, dass er seit Wochen auf meinen Seiten rumscannt.

                Viele Grüße
                Michael

                Comment

                • #9
                  Dann stelle deine Parameterübergabe ggf. von GET auf POST um,
                  blocke die IP
                  ... wie kann er überhaupt etwas tun, wenn du doch zu Anfang ein Login hast? Wie kann er da eine "Message" anzeigen lassen?
                  Christian

                  Comment

                  • #10
                    @Christian: Ich hab nicht gesagt, dass ich direkt am Anfang einen Login habe, zumindest wollte ich das nicht, vielleicht hab ich mir irgendwo missverständlich ausgedrückt. Es gibt einen offenen Bereich und einen Login.

                    Ja, irgendwann muss ich mal von GET auf POST umstellen. Hab mich nur noch nicht schlau gemacht, wie das funktioniert. Ich meine ich weiß, wie es mit Formularen funktioniert, aber wenn ich gar kein Formular auf einer Seite habe, muss ich dann für jeden Link, der Parameter übergibt, ein "Dummy-Formular" nutzen? Aber damit will ich Euch auch gar nicht nerven, das finde ich schon raus...

                    Comment

                    • #11
                      Auch ein POST-Request lässt sich zusammenstellen.
                      Ich meine ich weiß, wie es mit Formularen funktioniert, aber wenn ich gar kein Formular auf einer Seite habe, muss ich dann für jeden Link, der Parameter übergibt, ein "Dummy-Formular" nutzen?
                      Ja, die 1999 akutelle Technik der hidden-Felder hat heute auch noch Anhänger. Sessions zu nutzen wäre sinnvoller. Dies wäre dann auch der entsprechende Suchbegriff

                      Solange blocke die IP mit einer .htaccess

                      order allow,deny
                      deny from DIE_IP
                      allow from all
                      Zuletzt editiert von Christian Marquardt; 13.11.2012, 18:45.
                      Christian

                      Comment

                      • #12
                        Einen Block der IP will ich erst mal noch nicht vornehmen. Alle 40 Min einen Zugriff wird der Server wohl verkraften. Ich beobachte erst mal, wie sich das weiter entwickelt. Ich werde das aber auf jeden Fall im Hinterkopf haben und nutzen, wenn es doch zu wild wird. Vielen Dank auch für diesen Tipp.

                        Du hast das Schlagwort Sessions geliefert. Da trage ich auch schon seit Urzeiten Fragen mit mir rum. Aber die gehören wohl nicht in diesen Thread. Ich werde mich daher jetzt mal auf die Suche nach einer geeigneten Kategorie machen ;-)

                        Comment

                        • #13
                          Yandex ist das russische Google

                          Comment

                          Previous template Next
                          Working...
                          X