Apache gegen URL scanner Absichern

Alles, was den Apache betrifft, kann hier besprochen werden.

Apache gegen URL scanner Absichern

Postby Cyberbob_at_tot » 07. September 2010 06:29

Guten Morgen zusammen,

ich schaue mir gerade an, wie ich am besten meinen Apache gegen unten stehendes Beispiel absichere. Hierzu habe ich mir mal die Logs angesehen, und im error log kommen immer die URL scanner zum vorschein.

[Mon Sep 06 21:57:19 2010] [error] [client xxx.xxx.xxx.xxx] client denied by server configuration: /phpMyAdmin-2.8.0.3
[Mon Sep 06 21:57:20 2010] [error] [client xxx.xxx.xxx.xxx] File does not exist: sqlmanager
[Mon Sep 06 21:57:20 2010] [error] [client xxx.xxx.xxx.xxx] File does not exist: mysqlmanager
[Mon Sep 06 21:57:20 2010] [error] [client xxx.xxx.xxx.xxx] File does not exist: PMA2005


im Access log kommen folgende Probleme hoch...
5* ZmEu
3* Morfeus Fucking Scanner
2* Toata dragostea mea pentru iEdi
2* Made by ZmEu @ WhiteHat Team
1* Plesk
1* Mozilla/3.0 (compatible; Indy Library)
1* AcadiaUniversityWebCensusClient

Habe soweit den zugriff von ausen auf die wichtigen Verzeichnisse in der Apache Config auf interne IPs beschränkt. Ich würde aber gerne den Scann direkt unterbinden.

Kennt jemand möglichkeiten, um das Problem direkt ab Anfang auszuhebeln ?

Sorry wegen Rechtschreibfehler, viel zu früh ohne Kaffee geschrieben :)

MFG

Cyberbob
Cyberbob_at_tot
 
Posts: 4
Joined: 07. September 2010 06:12

Re: Apache gegen URL scanner Absichern

Postby Nobbie » 07. September 2010 09:28

Cyberbob_at_tot wrote:Ich würde aber gerne den Scann direkt unterbinden.


Da gibt es nur drei Möglichkeiten (die alle NICHTS mit Apache zu tun haben):

a) Du richtest eine Firewall ein, die die Zugriffe unterbindet

b) Du legst eine "robots.txt" an (=> Google!), aber die nutzt nur etwas, wenn sich die Scanner daran halten

c) Du rufst bei den Betreibern der Scanner an, sie mögen Deine Seite in Ruhe lassen.


Stören Dich die Einträge im Access Log, oder was ist der Sinn? Dafür gibt es doch die Allow, Deny Klauseln.
Nobbie
 
Posts: 8759
Joined: 09. March 2008 13:04

Re: Apache gegen URL scanner Absichern

Postby Cyberbob_at_tot » 07. September 2010 09:43

Da einfach mal anrufen wäre doch mal was :)


Ich will schon den Versuch unterbinden. Da die Page auch von Außen erreichbar ist, kann ich mit Allow, Deny Klauseln nicht weiter.
Stören tut mich das nicht wirklich, da ja soweit alles gesichert ist, aber trotzdem kann man ja den Versuch schonmal versuchen zu unterbinden.

In der Firewall könnte ich ja nach Browserkennung vieleicht filtern....
Cyberbob_at_tot
 
Posts: 4
Joined: 07. September 2010 06:12

Re: Apache gegen URL scanner Absichern

Postby Nobbie » 07. September 2010 10:24

Cyberbob_at_tot wrote:In der Firewall könnte ich ja nach Browserkennung vieleicht filtern....


Eigentlich solltest Du erst einmal robots.txt probieren - dafür wurde dieser Standard geschaffen. Erst wenn sich ein Scanner nicht daran hält, würde ich etwas anderes versuchen.
Nobbie
 
Posts: 8759
Joined: 09. March 2008 13:04

Re: Apache gegen URL scanner Absichern

Postby Cyberbob_at_tot » 07. September 2010 10:37

Ok werde ich machen. Besten dank.
Cyberbob_at_tot
 
Posts: 4
Joined: 07. September 2010 06:12

Re: Apache gegen URL scanner Absichern

Postby Cyberbob_at_tot » 08. September 2010 05:34

Vielen Dank für die Erklärung. Das System wurde des öfteren auf Sicherheitslücken getestet und wird ständig kontrolliert.

Ich denke mal die Bots gehören einfach dazu :)
Cyberbob_at_tot
 
Posts: 4
Joined: 07. September 2010 06:12

Re: Apache gegen URL scanner Absichern

Postby koehler1970 » 03. March 2011 00:31

hallo zusammen,

bin absoluter newbie hier und auf meiner suche auf dieses forum und auf diesen beitrag gestoßen... ich habe nämlich auch diese "einträge" in den apache-logs. hier mal ein auszug:

[list=] XXX - - [27/Feb/2011:21:16:13 +0100] "GET //phpmyadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"
XXX - - [27/Feb/2011:21:16:14 +0100] "GET //phpMyAdmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"
XXX - - [27/Feb/2011:21:16:15 +0100] "GET //admin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"
XXX - - [27/Feb/2011:21:16:15 +0100] "GET //dbadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"
XXX - - [27/Feb/2011:21:16:16 +0100] "GET //myadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"
XXX - - [27/Feb/2011:21:16:17 +0100] "GET / HTTP/1.0" 200 3991 "-" "Apache/2.2.4 (Linux/SUSE) (internal dummy connection)"
XXX - - [27/Feb/2011:21:16:17 +0100] "GET //mysql/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"
XXX - - [27/Feb/2011:21:16:18 +0100] "GET / HTTP/1.0" 200 3991 "-" "Apache/2.2.4 (Linux/SUSE) (internal dummy connection)"
XXX - - [27/Feb/2011:21:16:18 +0100] "GET //mysqladmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"
XXX - - [27/Feb/2011:21:16:19 +0100] "GET //phpadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"
XXX - - [27/Feb/2011:21:16:20 +0100] "GET //pma/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"
XXX - - [27/Feb/2011:21:16:21 +0100] "GET //phpdb/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - http://www.whitehat.ro"[/list]

weiß denn nun jemand, was es mit whitehat.ro auf sich hat. ist dies nun ein schlimmer "angriff" oder eher eine sache, mit der man leben muss/soll. diese auflistung macht mir als anfänger schon etwas sorgen. bin daher über alle nützlichen infos sehr dankbar.

gruss & danke sagt K70
koehler1970
 
Posts: 4
Joined: 03. March 2011 00:13

Re: Apache gegen URL scanner Absichern

Postby koehler1970 » 03. March 2011 17:47

hallo "wole",

und vielen, lieben dank für dein schnelles und nettes feedback. was meinst du mit XXX? kann hier gerne die ip posten. in anderen foren, in denen ich einige probleme eingestellt bzw diskutiert habe, bekam ich für die übermittlung der ip mächtig eine auf den deckel. na ja, egal! scheint ne ganz schöne nummer zu sein mit whitehat.ro !?!?!?

aber im nickles.de-beitrag steht auch ne menge bla bla, finde ich jedenfalls... mich persönlich würde die meinung / einschätzung einiger experten dieses forums interessieren, ob die sache nun als bedenklich anzusehen ist oder ob man (in diesem falle ich) mit dieser sache ohne weiteres leben kann bzw. muss???

vorab schon mal ein nettes danke sagt k70
koehler1970
 
Posts: 4
Joined: 03. March 2011 00:13

Re: Apache gegen URL scanner Absichern

Postby koehler1970 » 03. March 2011 20:49

hey wole,

na dann mal los... hier nochmal die apache-logs...

Code: Select all
61.91.124.147 - - [27/Feb/2011:21:16:13 +0100] "GET //phpmyadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:14 +0100] "GET //phpMyAdmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:15 +0100] "GET //admin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:15 +0100] "GET //dbadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:16 +0100] "GET //myadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
127.0.0.1 - - [27/Feb/2011:21:16:17 +0100] "GET / HTTP/1.0" 200 3991 "-" "Apache/2.2.4 (Linux/SUSE) (internal dummy connection)"
61.91.124.147 - - [27/Feb/2011:21:16:17 +0100] "GET //mysql/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
127.0.0.1 - - [27/Feb/2011:21:16:18 +0100] "GET / HTTP/1.0" 200 3991 "-" "Apache/2.2.4 (Linux/SUSE) (internal dummy connection)"
61.91.124.147 - - [27/Feb/2011:21:16:18 +0100] "GET //mysqladmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:19 +0100] "GET //phpadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:20 +0100] "GET //pma/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:21 +0100] "GET //phpdb/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:21 +0100] "GET //db/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:22 +0100] "GET //mysqladmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:23 +0100] "GET //SQL/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:24 +0100] "GET //padmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:25 +0100] "GET //pmadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
61.91.124.147 - - [27/Feb/2011:21:16:26 +0100] "GET //webdb/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"

194.79.22.142 - - [02/Mar/2011:09:29:10 +0100] "GET //phpmyadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:10 +0100] "GET //phpMyAdmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:10 +0100] "GET //admin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:10 +0100] "GET //dbadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:11 +0100] "GET //myadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:11 +0100] "GET //mysql/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:11 +0100] "GET //mysqladmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:11 +0100] "GET //phpadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:11 +0100] "GET //pma/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:12 +0100] "GET //phpdb/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:12 +0100] "GET //db/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:12 +0100] "GET //mysqladmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:12 +0100] "GET //SQL/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:13 +0100] "GET //padmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:13 +0100] "GET //pmadmin/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
194.79.22.142 - - [02/Mar/2011:09:29:13 +0100] "GET //webdb/ HTTP/1.1" 404 1026 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"


ist dieser "angriff" nun dramatisch oder nicht? gruss k70
koehler1970
 
Posts: 4
Joined: 03. March 2011 00:13

Re: Apache gegen URL scanner Absichern

Postby koehler1970 » 03. March 2011 22:08

vielen dank für deine hilfe wole....!!!

gruss k70
koehler1970
 
Posts: 4
Joined: 03. March 2011 00:13


Return to Apache

Who is online

Users browsing this forum: No registered users and 6 guests