nicht angemeldet einsiedler
Rolf B
einsiedler
Christian Kruse
einsiedler
Christian Kruse
einsiedler
Hallo liebe Forumer,
heute habe ich einfach mal eine Verständnisfrage zu meinem Log, und zwar taucht seid einiger Zeit dies hier bei mir auf:
2020-05-13 01:26:43 Error 188.68.0.117 400 CONNECT meineseite3.net:443 HTTP/1.0 Unbekannt 150 SSL/TLS-Zugriff für Apache
Dieses CONNECT meineseite3.net:443
Was will derjenige damit bezwecken, was passiert damit? Wozu ist es gut? Kann mir das mal jemand beantworten?
Häufiger habe ich immer dieses hier:
2020-05-13 07:14:03 Error 185.166.87.198 404 HEAD /phpMyAdmin/ HTTP/1.0 Unbekannt 142 Apache-Zugriff
Auch hier worum geht es hier, kann mir das mal jemand beantworten?
Neu ist nun dieses hier, das kann ich gar nicht verstehen:
2020-05-13 16:21:47 Error 31.13.191.87 404 GET /assets/global/plugins/jquery-file-upload/server/php/index.php?secure=1 HTTP/1.0 Unbekannt 1.22 K Apache-Zugriff
2020-05-13 16:21:48 Error 31.13.191.87 404 GET /assets/plugins/jquery-file-upload/server/php/index.php?secure=1 HTTP/1.0 Unbekannt 1.22 K Apache-Zugriff
2020-05-13 16:21:49 Error 31.13.191.87 404 GET /assets/jquery-file-upload/server/php/index.php?secure=1 HTTP/1.0 Unbekannt 1.22 K Apache-Zugriff
2020-05-13 16:21:50 Error 31.13.191.87 404 GET /phpformbuilder/plugins/jQuery-File-Upload/server/php/index.php HTTP/1.0
2020-05-13 16:32:27 Error 35.234.95.185 403 GET /.git/HEAD HTTP/1.0 Unbekannt 375 Apache-Zugriff
2020-05-13 16:32:27 Error 35.234.95.185 404 GET /.git/HEAD HTTP/1.0 Unbekannt 1.22 K Apache-Zugriff
2020-05-13 16:32:27 Error 35.234.95.185 403 GET /.git/HEAD HTTP/1.0 Unbekannt 575 Apache-Zugriff
2020-05-13 16:32:27 Error 35.234.95.185 404 GET /.git/HEAD HTTP/1.0 Unbekannt 1.22 K Apache-Zugriff
2020-05-13 16:32:27 Error 35.234.95.185 404 GET /.git/HEAD HTTP/1.0 Unbekannt 1.22 K Apache-Zugriff
2020-05-13 16:32:27 Error 35.234.95.185 404 GET /.git/HEAD HTTP/1.0 Unbekannt 1.22 K Apache-Zugriff
2020-05-13 16:32:27 Access 35.234.95.185 301 GET /.git/HEAD HTTP/1.1 Unbekannt 162 SSL/TLS-Zugriff für nginx
Worum geht es hier?
Kann mir das mal bitte jemand erklären!
Danke im vorraus!
Der misanthrop
Hallo einsiedler,
den CONNECT kann ich nicht erklären, bei den anderen Zugriffen dürfte jemand herausfinden wollen, ob es eine jquery-file-upload Seite oder ein .git Repository gibt, womit man dann weiteren Schabernack treiben kann. Möglicherweise haben diese Komponenten bekannte Schwachstellen.
Rolf
Danke Rolf.
Nun, beides existiert ja nicht, Fehlermeldung 404. HEHE...
Und dieses ominöse HEAD? Was will er damit?
Hallo einsiedler,
HEAD-Requests geben die gleichen Header zurück, die ein GET-Request auf diese Resource zurückgeben würde. Anhand dieser Informationen kann dann ein Client entscheiden, ob er tatsächlich einen GET-Request stellen will oder lieber doch nicht. Etwa um Bandbreite zu sparen.
Freundliche Grüße,
Christian Kruse
Hallo Rolf,
den CONNECT kann ich nicht erklären, […]
CONNECT ist eine Proxy-Methode. Im Zusammenhang mit Apache und mod_proxy gab es in der Vergangenheit diverse Sicherheitslücken bzw. Fehlkonfigurationen.
Möglicherweise haben diese Komponenten bekannte Schwachstellen.
Ja.
Freundliche Grüße,
Christian Kruse
Aha, schon mal ein Ansatz. Aber ich verstehe trotzdem nicht so ganz. Meine Seite bei der dies angewendet wurde, hat HTTPS/SSL mit allen Zertifikaten Wird versucht eine KOPIE von der Seite zu erstellen irgendwoanders (illegal gehostet) oder was?
Grüße
Hallo einsiedler,
nein. Es ist ein automatisierter Scan auf bekannte Schwachstellen. Mehr nicht.
Freundliche Grüße,
Christian Kruse
Na da will ich mal hoffen das mein Hoster "gewappnet" ist.
Grüße
Hi,
Na da will ich mal hoffen das mein Hoster "gewappnet" ist.
Du könntest ihn bitten, eine Firewallkonfiguration für penetrante Wiederholungsfälle passend einzurichten und sie Dir zu erläutern.
Auch Grüße
Mitleser
Das wäre nochmal etwas anderes als meine .htaccess Blacklist die ich ohnehin habe, oder? Was ist dann der Vorteil?
Der misanthrop
Du könntest ihn bitten, eine Firewallkonfiguration für penetrante Wiederholungsfälle passend einzurichten und sie Dir zu erläutern.
Das wäre nochmal etwas anderes als meine .htaccess Blacklist die ich ohnehin habe, oder? Was ist dann der Vorteil?
Die Firewall blockiert die Verbindungsaufnahme, bevor der Apache belästigt wird. Das ist also „billiger“ und auch auf einem Router bzw. Level-3-Switch möglich. In dem Fall könnte dann nicht nur ein Server bzw. Dienst geschützt werden, sondern auch dessen Nachbarn, genau genommen sogar ganze Rechenzentren. Letzteres z.B. durch einen Carrier.
Hi,
Das wäre nochmal etwas anderes als meine .htaccess Blacklist die ich ohnehin habe, oder? Was ist dann der Vorteil?
Eine dynamische Firewall stellt automatisch die IPs von penetranten Fehlversuchen fest und sperrt diese eine zeitlang oder dauerhaft aus.
mfG
Mitschützer