Server Exploit Detection
Ich hab’ mir ein Perl Script geschrieben, das die Apache Log Files ausliest und eine Liste mit IP- und Hostadressen zusammen stellt, die versucht haben meinen Server durch Exploits zu hacken. Diese Liste findet man hier: http://pub.fox21.at/exploitdetect/hosts_only.txt
Hier ein Auszug der Liste.
faith.hallelujah.com www56.your-server.de 210.183.36.251 211.233.11.27 castle.inforos.ru cli9.unete.com.bo 211.202.2.220 disco-megasimarik.de web2.connexhosting.com 203.250.148.36
Die Zahl davor, ist die Anzahl der Versuche. Diese IP-Adressen werden von meinem Server geblockt. hosts_only.txt wird alle 15 Minuten automatisch aktuallisiert. Die Angreifer haben es in 90 % der Faelle mit einem Cross Site Script (XSS, Remote Injection) versucht. Meistens mit der HTTP GET Variable INCLUDE_FOLDER=URL oder ADMIN_FOLDER=URL. Wenn man sich die Liste genauer anschaut, dann wird man feststellen, dass ziemlich viele Russen dabei sind.
Normalerweise geb’ ich nicht einfach so andere IP-Adressen her, die auf meine Homepage zugegriffen haben. Aber in dem Fall mach’ ich eine Ausnahme. Diese Liste soll anderen Server Admins helfen, sich gegen diese Adressen zu schuetzen. Ich hab’ die meisten IPs in dieser Liste geblockt. Man sollte als Admin zumindest die ersten 10 davon blocken. Manche davon versuchen es nur einmal. Manch’ andere Versuchen es aber auch oefters, mit allen Mitteln.
Das Script ist derzeit noch nicht soweit ausgereift, um damit jede Art von Apache Log auszulesen. Das Format der Apache Logs ist indivituell anpassbar. Desswegen auch kein Release dieses Scripts.
