Moin!

Also jetzt bin ich doch überrascht. Ich dachte es sind Experten hier? Der einzige ders in etwa verstanden hat ist Der Martin. Also gut, dann erkläre ich was ich meine:

Die Antwort von dedlfix geht vollkommen in die Richtung, die ich dir auch geantwortet hätte. Insofern hast du durchaus Expertenantworten bekommen.

Argument, Prüfung braucht Performance:
Es wird ja nur bei Fehlern (zB 404) geprüft. Das normale ausliefern von Webseiten wird dadurch nicht beeinträchtigt.

Was ist das für ein Argument? Du siehst in deinen Logfiles die automatisierten Scanversuche nach öffentlich erreichbaren Admin-Interfaces. Wenn auf keiner dieser untersuchten URLs ein zugängliches Interface existiert, müllt das dein Logfile zu, ja. Wenn doch eines existiert, wird das nicht im Error-Log auftauchen. Niemand zwingt die Angreifer aber, immer in derselben Reihenfolge zu scannen, d.h. auch die Mechanik "nach 10 verursachten 404ern die IP sperren" garantiert dir keinen Schutz, weil ja durch Zufall auch schon die erste URL ein Treffer sein kann.

Abgesehen davon sind nicht nur böse Buben Verursacher von 404-Status. Auch Suchmaschinenspider verursachen durchaus absichtlich Requests auf nicht vorhandene Seiten, um das Serververhalten in diesem Fall zu untersuchen: Kommt dann ein 404, oder kommt (aufgrund von falscher Konfiguration etc.) vielleicht ein Redirect auf eine Contentseite?

Fakt ist: Dein Server kriegt in jedem Fall den Request und muß ihn verarbeiten. Jetzt ist nur die Frage, was man am effektivsten damit macht? Wenn du gesteigertes Interesse an einer Scan-Analyse hast, kannst du dir ja gerne einen Honeypot zusammenschrauben, aber ein produktiver Server sollte solche Requests mit dem minimal möglichen Rechenaufwand beantworten - und das ist in meinen Augen nunmal der 404. Wenn dich das zusätzliche Error-Logfile stört (im Access-Log tauchen die 404-Requests ja auch alle nochmal auf), kannst du das abschalten oder nach /dev/null leiten. Jegliche spezielle Sonderbehandlung von solchen Requests, die Verwaltung einer IP-Blackliste, das notwendige Lookup der IP in der Liste - das sind alles Extraaufgaben, die mindestens so aufwendig sind, wie die direkte Generierung des 404, sie müssen zudem IMMER stattfinden, nicht nur bei 404 (was wäre sonst gewonnen, der IP statt 404 einen anderen Statuscode zu liefern, den Zugriff auf existierende Sicherheitslücken aber zu erlauben) - unter dem Strich belastet das alles den Server mit Extraaufwand, den man sich in Produktivsystemen liebend gern sparen sollte.

Andererseits: Wer XAMPP unter Windows produktiv einsetzt, handelt ohnehin eher fragwürdig in meinen Augen. XAMPP liefert zweifelsfrei ein sehr leicht installierbares Paket zur Webentwicklung, es ist aber hinsichtlich diverser Defaultwerte (Passworte, Admin-URLs) leicht ausrechen- und angreifbar, wenn man nicht aktiv gegensteuert.

Argument, schütze doch per .htaccess:
Ja, das tue ich. Aber machen das alle?

Was andere auf ihren Servern machen, geht dich nichts an und ist bei dieser Fragestellung auch irrelevant, da du diese anderen Server ja sowieso nicht beeinflussen kannst.

Argument, "was nützt das"?
Es wird bergeweise XAMPP Installationen geben (und auch andere) die die Administrationstools (phpMyAdmin, CMS-Admin etc.) noch offen haben. Wenn nun ein Scanner nach 10 Versuchen keine Antwort mehr bekommt, dann ist die Chance, dass eine evtl. tatsächlich bestehende Lücke ausgenutzt wird, viel geringer (wird ja nicht mehr bei den sonst noch folgenden 200 Versuchen entdeckt). Es würde doch allgemein mehr Sicherheit im Internet bringen.

Dasselbe Argument: Was interessieren dich fremde Server, die du nicht betreust und sichern kannst?

Naja, mich stören die Einträge nicht. Ich dachte nur, ich könnte "meine Hacker" damit ein wenig ärgern.

Doch, dich stören die Einträge, sonst hättest du ja den Thread nicht gestartet.

Kann man ein automatisiertes Scanprogramm ärgern? Ich glaube nicht. Den dahinter sitzenden Hacker interessieren nur die positiven Meldungen, bei allen anderen ist ihm egal, ob der Server 404, 403, 401, 500 oder gar nichts mehr geantwortet hat.

- Sven Rautenberg