Hackerangriff?

[JPW]

Hallo zusammen,

immer wieder beobachte ich, dass "Gäste" versuchen, die URL
https://www.shopurl.com/login.php?action=process&
aufzurufen. Prüfe ich deren IP, ist diese immer in verschiedenen Verzeichnissen auf der Blacklist, oft sind es auch offene Proxy-Server.
Ich vermute, es handelt sich um Hackerangriffe. Was bezweckt der Angreifer mit dieser Aktion? Ist der Shop (Ver. 2.0.3.0) sicher oder sollte ich Vorkehrungen treffen?

Genauso kann ich beobachten, wie andere zwielichtige "Gäste" verschiedene WordPress-Unterverzeichnisse abklopfen, die ja gar nicht existieren. Was habe ich davon zu halten?

Viele Grüße
Jens

Linkback: https://www.modified-shop.org/forum/index.php?topic=38386.0

[Teratek]

Solche Besucher habe ich ständig.
Die versuchen wie bei dir Standardverzeichnisse für Admin Login von bekannter Software aufzurufen. Bisher sind sie nicht reingekommen bzw ich habe nichts bemerkt 

Installier immer die neueste Software und vergib starke Passwörter.

Wenn du deinen eigenen Server bertreibst dann solltest du den natürlich auch absichern.

[web28]

Ist der Shop (Ver. 2.0.3.0) sicher oder sollte ich Vorkehrungen treffen?

Echte Hacker Angriffe werden normalerweise abgefangen und in der log/xss_attacks_DATUM.log.gz dokumentiert.

Gruss Web28

[JPW]

Vielen Dank euch beiden für die Antworten.
Da diese Angriffe immer konzentriert im Sekundentakt stattfinden und auf die Login-Seite zielen, hatte ich befürchtet, dass der Hacker vielleicht die Session übernehmen will/ kann, wenn sich zeitgleich ein echter Kunde einloggt. Möglicherweise denke ich aber auch zu laienhaft.
Bei den WordPress-Geschichten bin ich eigentlich entspannt, da die Unterverzeichnisse nicht existieren und der Angreifer einen Fehler 404 bekommt.
Okay, dann fahre ich die ganze Aufregung wieder auf Normallevel. Diese Hacker-Log-Datei existiert tatsächlich dreimal. Die schaue ich mir mal in aller Ruhe an.

Viele Grüße
Jens

[Timm]

immer wieder beobachte ich, dass "Gäste" versuchen, die URL
https://www.shopurl.com/login.php?action=process&
aufzurufen

Bei mir ist das grad auch ziemlich nervig. Seit 1-2 Wochen ist die whos_online.php voll mit Einträgen genau auf diese Adresse. Das meißte aus dem europäischen Ausland.

Gruß Timm

[ttsarche]

Ich arbeite hier bereits seit über 3 Jahren mit IPTables und die Liste ist lang, Meist Kiew oder St. Petersburg ist die Herkunft, aber auch China, Japan und unsere amerkanischen Freunde sind dabei. Ich liste immer gleich Netzwerke mit ~16.000 Adressen aus (Class B), hoffe, das ich mich nicht irgendwann selber aussperre, passiert ist das schon

[p3e]

@FräuleinGarn: Das selbe beobachte ich auch schon seit längerem. Habe schon überlegt die login.php umzubenennen (Achtung, dann natürlich auch in filenames.php). Ansonsten hat modified ja den Brute Force Schutz in der login.php bereits integriert. Hier wäre eine zusätzliche zeitliche Begrenzung sinnvoll, da einige hier ja bereits von Spam über das Kontaktformular trotz Captcha berichten.

@ttsarche: Ich habe früher auch immer großzügig ausgesperrt und mir damit internationale Kunden verärgert. Inzwischen sperre ich -wenn überhaupt- nur noch ganz gezielt und auch nur temporär. Viel wichtiger ist es den Shop und den Rechner mit dem Du auf den Shop zugreifst sicher zu halten. Ich startete 2001 mit meinem ersten Shop und hatte bisher noch keinen erfolgreichen Hackerangriff. (Darauf ruhe ich mich nicht aus.)

[derheiko]

Sofern dein Anbieter/Server dies Unterstützt kannst du folgendes in die .htaccess hinzufügen:

Code: PHP  [Auswählen]

 <IfModule mod_geoip.c>
GeoIPEnable On
SetEnvIf GEOIP_COUNTRY_CODE (CN|RU|TR) BlockCountry
Deny from env=BlockCountry
</IfModule>

Damit sperre ich als Beispiel China, Russland und Türkei aus.

Ipkreise kannst du mit

Code: PHP  [Auswählen]

<Limit GET POST HEAD>
order allow,deny

deny from 0.0.0.0
deny from 0.0
 

über die .htaccess sperren.

Evtl. kannst du die apache Logs mal auswerten und schauen ob diese Zugriffe über die Browser Kategorie zu ermitteln ist.

Hier als Beispiel wenn Bing den Shop besucht:

Code: PHP  [Auswählen]

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b

So sperre ich auch gerne mal Bots aus:

Code: PHP  [Auswählen]

BrowserMatchNoCase "Cliqzbot" bots
BrowserMatchNoCase "DomainCrawler" bots
BrowserMatchNoCase "MegaIndex.ru" bots
BrowserMatchNoCase "spbot" bots
BrowserMatchNoCase "AhrefsBot" bots
BrowserMatchNoCase "seokicks" bots
BrowserMatchNoCase "netEstate" bots
BrowserMatchNoCase "AlphaBot" bots
BrowserMatchNoCase "MJ12bot" bots
BrowserMatchNoCase "AlphaSeoBot" bots
BrowserMatchNoCase "SISTRIX" bots

Zum auswerten deiner Apache Logs empfehle ich dir dieses Tool:

https://www.gaijin.at/dlhttplogstat.php

Gruß Heiko

[Timm]

Das Problem zur Zeit ist aber, dass es nicht die üblichen Verdächtigen sind, sondern Länder wie Schweden, Großbritanien, Niederlande, Deutschland etc., woher die Angriffe kommen. Ländersperre hilft da dann nicht.

Gruß Timm

[Viol]

Ich nutze seit langer Zeit http://www.bot-trap.de/home/ und melde dort mit dem jeweiligen Logfileeintrag die ip
Das funktioniert bei mir ganz gut. Ich habe keinen Spam über das Kontaktformular und die Einträge , wie Du sie beschreibst, sind sehr selten.

[Timm]

@viol
Hat das Auswirkungen auf die Performance der Seite? Weil es ja bei jeder Seite geladen wird und ziemlich viele Einträge in dem Script sein werden.

Gruß Timm

[HaldOn]

Hallo Timm,

nutze bot-trap auch, bei mir kein Performanceverlust spürbar.

[Viol]

Ich kann das auch nochmal testen. Aber probier es doch sonst einfach mal aus.

[Timm]

Könntest du mir bitte beschreiben, wie und wo ich das Script einbinde? Und was noch zu beachten ist beim Einbau.

Gruß Timm

[Viol]

Ich habe das Script als erstes in die includes/application_top.php eingebunden.