UNEKO edv-beratung         IT-Technik, Organisation & neue Medien

Ihr Direkt-Kontakt

Local time 21:04 CEST

+49 (0)208 78 27 90 27

 

kontakt2010 @ uneko.de
Skype-Schnellkontakt

Wie der Hack einer Website beginnt

Werfen Sie ab und zu mal einen detaillierten Blick in Ihre Server-Logfiles? Es lohnt sich, zum Beispiel um wie jetzt zu demonstrieren, wie wichtig es ist, keine CMS-Standard-Installationen zu nutzen.

Der Grund steht im Server-Logfile

Dies ist das Logfile einer meiner Präsenzen:

95.211.132.72 - - [29/Apr/2010:05:18:32 +0200] "GET /administrator/index.php HTTP/1.1" 404 -
95.211.132.72 - - [29/Apr/2010:05:18:33 +0200] "GET /joomla/administrator/index.php HTTP/1.1" 404 -
hosted-by.leaseweb.com - - [29/Apr/2010:05:18:33 +0200] "GET /site/administrator/index.php HTTP/1.1" 404
95.211.132.73 - - [29/Apr/2010:05:18:33 +0200] "GET /cms/administrator/index.php HTTP/1.1" 404 -
95.211.132.73 - - [29/Apr/2010:05:18:33 +0200] "GET /content/administrator/index.php HTTP/1.1" 404 -
95.211.132.73 - - [29/Apr/2010:05:18:33 +0200] "GET /home/administrator/index.php HTTP/1.1" 404 -
95.211.132.71 - - [29/Apr/2010:05:18:33 +0200] "GET /main/administrator/index.php HTTP/1.1" 404 -
95.211.132.74 - - [29/Apr/2010:05:18:33 +0200] "GET /portal/administrator/index.php HTTP/1.1" 404
95.211.132.74 - - [29/Apr/2010:05:18:33 +0200] "GET /web/administrator/index.php HTTP/1.1" 404 -
95.211.132.74 - - [29/Apr/2010:05:18:33 +0200] "GET /v1/administrator/index.php HTTP/1.1" 404 -
95.211.132.73 - - [29/Apr/2010:05:18:33 +0200] "GET /v2/administrator/index.php HTTP/1.1" 404 -
95.211.132.74 - - [29/Apr/2010:05:18:34 +0200] "GET /j/administrator/index.php HTTP/1.1" 404 -
95.211.132.74 - - [29/Apr/2010:05:18:34 +0200] "GET /en/administrator/index.php HTTP/1.1" 404 -
hosted-by.leaseweb.com - - [29/Apr/2010:05:18:34 +0200] "GET /joom/administrator/index.php HTTP/1.1" 404
95.211.132.73 - - [29/Apr/2010:05:18:34 +0200] "GET /Joomla/administrator/index.php HTTP/1.1" 404 -
95.211.132.74 - - [29/Apr/2010:05:18:34 +0200] "GET /joomla1.5/administrator/index.php HTTP/1.1" 404
95.211.132.73 - - [29/Apr/2010:05:18:34 +0200] "GET /joomla15/administrator/index.php HTTP/1.1" 404
95.211.132.71 - - [29/Apr/2010:05:18:34 +0200] "GET /joomla2/administrator/index.php HTTP/1.1" 404 -
95.211.132.74 - - [29/Apr/2010:05:18:34 +0200] "GET /joomla1/administrator/index.php HTTP/1.1" 404 -
hosted-by.leaseweb.com - - [29/Apr/2010:05:18:34 +0200] "GET /Site/administrator/index.php HTTP/1.1" 404
95.211.132.73 - - [29/Apr/2010:05:18:34 +0200] "GET /site_old/administrator/index.php HTTP/1.1" 404 -
95.211.132.73 - - [29/Apr/2010:05:18:34 +0200] "GET /Site_old/administrator/index.php HTTP/1.1" 404 -
95.211.132.74 - - [29/Apr/2010:05:18:34 +0200] "GET /cms_old/administrator/index.php HTTP/1.1" 404 -
95.211.132.71 - - [29/Apr/2010:05:18:34 +0200] "GET /joomla_old/administrator/index.php HTTP/1.1" 404
95.211.132.72 - - [29/Apr/2010:05:18:34 +0200] "GET /CMS/administrator/index.php HTTP/1.1" 404 -
hosted-by.leaseweb.com - - [29/Apr/2010:05:18:34 +0200] "GET /test/administrator/index.php HTTP/1.1" 404
95.211.132.74 - - [29/Apr/2010:05:18:34 +0200] "GET /backup/administrator/index.php HTTP/1.1" 404 -

27 Versuche in knapp 3 Sekunden hat der Roboter getestet, bevor er sich das nächste Ziel ausgesucht hat. Vorne steht die IP-Adresse des Robbies, die 404 hinten zeigt, dass die gesuchte Datei nicht existiert.

Andernfalls wäre die Seite zum Admin-Bereich korrekt geladen worden, und es ist davon auszugehen, dass dann der eigentliche Angriff auf meine Website gestartet worden wäre.

Noch ein Beispiel gefällig?

box6.rapidenet.ca - - [24/May/2010:20:55:15 +0200] "GET /old/wp-login.php HTTP/1.1" 404 
box6.rapidenet.ca - - [24/May/2010:20:55:15 +0200] "GET /cms/wp-login.php HTTP/1.1" 404
box6.rapidenet.ca - - [24/May/2010:20:55:15 +0200] "GET /wp-login.php HTTP/1.1" 302 306 
box6.rapidenet.ca - - [24/May/2010:20:55:16 +0200] "GET /wp-login.php HTTP/1.1" 302 308 
box6.rapidenet.ca - - [24/May/2010:20:55:16 +0200] "GET /blog/wp-login.php HTTP/1.1" 302 306 
box6.rapidenet.ca - - [24/May/2010:20:55:16 +0200] "GET /blog/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:16 +0200] "GET /blog_old/wp-login.php HTTP/1.1" 404 -
box6.rapidenet.ca - - [24/May/2010:20:55:17 +0200] "GET /blog-old/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:17 +0200] "GET /blog/wp/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:17 +0200] "GET /wp-login.php HTTP/1.1" 302 304 
box6.rapidenet.ca - - [24/May/2010:20:55:18 +0200] "GET /wp-login.php HTTP/1.1" 302 308 
box6.rapidenet.ca - - [24/May/2010:20:55:18 +0200] "GET /wp-login.php HTTP/1.1" 302 318 
box6.rapidenet.ca - - [24/May/2010:20:55:18 +0200] "GET /wp/wp-login.php HTTP/1.1" 404 
box6.rapidenet.ca - - [24/May/2010:20:55:19 +0200] "GET /wp-old/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:19 +0200] "GET /wp-old-blog/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:19 +0200] "GET /wp_old/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:19 +0200] "GET /WP/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:20 +0200] "GET /WP-backup/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:20 +0200] "GET /backup/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:20 +0200] "GET /blog/backup/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:20 +0200] "GET /wp-blog/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:20 +0200] "GET /wp_blog/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:21 +0200] "GET /WP_blog/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:21 +0200] "GET /blog/wp_blog/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:21 +0200] "GET /Test/wp/blog/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:21 +0200] "GET /test/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:21 +0200] "GET /test/wp/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:22 +0200] "GET /testblog/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:22 +0200] "GET /test-blog/wp-login.php HTTP/1.1" 404 -
box6.rapidenet.ca - - [24/May/2010:20:55:22 +0200] "GET /test_blog/wp-login.php HTTP/1.1" 404 -
box6.rapidenet.ca - - [24/May/2010:20:55:22 +0200] "GET /test/blog/wp-login.php HTTP/1.1" 404 -
box6.rapidenet.ca - - [24/May/2010:20:55:23 +0200] "GET /wp-login.php HTTP/1.1" 302 308 
box6.rapidenet.ca - - [24/May/2010:20:55:23 +0200] "GET /blog/wp-login.php HTTP/1.1" 302 308 
box6.rapidenet.ca - - [24/May/2010:20:55:23 +0200] "GET /wordpress/wp-login.php HTTP/1.1" 302 308 
box6.rapidenet.ca - - [24/May/2010:20:55:23 +0200] "GET /test/wordpress/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:24 +0200] "GET /wordpress-test/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:24 +0200] "GET /wordpress_test/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:24 +0200] "GET /wp-login.php HTTP/1.1" 302 318 
box6.rapidenet.ca - - [24/May/2010:20:55:25 +0200] "GET /wp/test/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:25 +0200] "GET /test/blog/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:25 +0200] "GET /test-blog/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:25 +0200] "GET /wp-login.php HTTP/1.1" 302 314 
box6.rapidenet.ca - - [24/May/2010:20:55:26 +0200] "GET /wptest/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:26 +0200] "GET /wp-test/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:26 +0200] "GET /wp-login.php HTTP/1.1" 302 312 
box6.rapidenet.ca - - [24/May/2010:20:55:27 +0200] "GET /wp-login.php HTTP/1.1" 302 306 
box6.rapidenet.ca - - [24/May/2010:20:55:27 +0200] "GET /wp2/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:27 +0200] "GET /wordpress/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:27 +0200] "GET /Wordpress/wp-login.php HTTP/1.1" 404 - 
box6.rapidenet.ca - - [24/May/2010:20:55:28 +0200] "GET /wordpress2/wp-login.php HTTP/1.1" 404 -

Lösung: CMS-Verzeichnisstrukturen ändern

Es ist ein überschaubarer Aufwand, der aber die Einstiegsschwelle für den Hack Ihrer Internet-Site ein Stück weit erhöht. Sie müssen bei der Erstinstallation einmal die wesentlichen Verzeichnisnamen ändern, dies auch in der Konfigurationsdatei nachführen - und bei jedem Update ebenfalls daran denken, dass die Dateien in die neuen Verzeichnisse kommen.

Schon läuft, wie bei mir, die erste Angriffswelle ins Leere. Und da es viele aktive Standard-Installationen im Web gibt, existieren genug leichtere Ziele - und man selbst bleibt wahrscheinlich von Attacken verschont.

 

Preisträger Mittelstandsprogramm 2008Preisträger Mittelstandsprogramm 2009

StartSSL Web Of Trust Notary

 

Aktives Marketing mit der neuen .tel-Domain

Die .tel-Domain ist keine Erweiterung für Ihren normalen Webauftritt, stattdessen eher ein Synonym für "Kundenkontakt pur" oder "Alle Kontaktdaten auf einen Blick". Lesen Sie mehr zu den einzigartigen Marketing-Chancen der .tel .

 

Anonymes Domain-Impressum

Sollen Ihre privaten Kontaktdaten auch privat bleiben? Jetzt können Sie auch in Deutschland Ihr Internet-Impressum ganz legal schützen: anonymes-impressum.de.

 

Direkt-Angebot für Web-Betreuung kalkulieren

Wie günstig die Umstellung auf ein Content-Management-System (CMS) für Sie sein kann, können Sie selbst berechnen. Informationen dazu mit Leasingraten im Angebotsrechner.

 

Restposten: EXiM Displayschutzfolien

Lagerauflösung eines Restbestandes von EXiM Displayschutzfolien für PDA oder Fotoapparate. Diese um bis zu 40% reduzierte Markenware gilt neben Brando als führend in der Qualität.

 

So dicht bei Ihnen als Kunde

Virtuell sofort per E-Mail, Web, Fernwartung oder Telefon verbunden.

Persönlich in nur 30 Minuten im Großraum Ruhrgebiet und Umgebung wie Düsseldorf, Ratingen, Krefeld, Mettmann, Neuss, Duisburg, Oberhausen, Wesel, Mülheim an der Ruhr, Stadt Essen, Bottrop, Dorsten, Gelsenkirchen, Hattingen, Bochum, Wattenscheid und Herne.

Unter 60 Minuten außerdem in Recklinghausen, Marl, Dortmund, Witten, Iserlohn, Hagen, Wuppertal, Solingen, Leverkusen, Köln, Bonn, Mönchengladbach, Aachen und weitere Orte in NRW.

Und darüber hinaus sind mit der Bahn viele Städte wie Hamburg, Bremen, Münster, Hannover, Berlin, Frankfurt, Mannheim und Stuttgart direkt in angenehmer Zeit erreichbar.

 

 

Initiative Ruhrstadt

 

Valid XHTML 1.0 Transitional