Logfile: massgeschneiderte Falschanfragen
Paul Brunner
- https
0 Beat0 Tom0 Ingo Turski
Hallo,
seit kurzem tauchen in unserem Logfile massenweise offensichtlich unsinnige aber teileweise unsere Dateistruktur enthaltende Falschanfragen auf.
Also zum Beispiel:
http://www.mydomain.de/workgear/angebot/wopohsrfe.htm
http://www.mydomain.de/suzukibass/style/kyotojp.htm
Es gibt tatsächlich die Verzeichnisse:
http://www.mydomain.de/firma/angebot/
http://www.mydomain.de/system/style/
Was hat dass für einen Sinn, habe ich da eine neue Angriffs-Methode verpasst?
hy
Mir hats kürzlich eine ganze Gedichtesammlung voller Anfragen nach nicht existenten scripten im cgi bin reingehauen.
Ich war es bisher gewohnt dass die formmail.pl abgefragt wurde,
aber das hat nun wohl neue Dimensionen angenommen.
Es gab auch mal den Fall, dass ein Server seine Indexmaschiene ausprobierte und überall nach nicht existenten Dateien fragte, was bei ziemlich viel Leuten Verwirrung erzeugte.
Ich selbst benutze die Adresszeile im Ärger manchmal als kleines Messageboard..... ;(
mfg Beat
Hello,
seit kurzem tauchen in unserem Logfile massenweise offensichtlich unsinnige aber teileweise unsere Dateistruktur enthaltende Falschanfragen auf.
Also zum Beispiel:
http://www.mydomain.de/workgear/angebot/wopohsrfe.htm
http://www.mydomain.de/suzukibass/style/kyotojp.htmEs gibt tatsächlich die Verzeichnisse:
http://www.mydomain.de/firma/angebot/
http://www.mydomain.de/system/style/
Welchen Webserver?
welches Betriebssystem?
PHP, PERL, ...?
Indexes on?
Standardscripte im Einsatz?
Das ist dann wohl der Lohn für die weite Verbreitung fertiger Scripte und CMS, dass einige dann natürlich die namen kennen und danach suchen. Welche Methode ist denn logged? GET, POST, HEAD,...?
Auf IIS-Systeme sind derartige Angriffe üblich. Die finde ich in meinen Logs auch immer wieder, obwohl ich ja Apache fahre.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
Hi,
und welcher Usergent wurde übermittelt? Nicht zufällig die Kennung des Yahoo-Robots? Darüber hatte ich kürzlich auch einige solcher Anfragen. Und es war tatsächlich eine inktomi-IP. Aber verweisende Seiten konnte ich nicht finden.
freundliche Grüße
Ingo