Attacker in user.log

IceRage

IceRage

0
Hallo,

ich habe hier folgende Meldung in /var/log/user.log:

Code: 
Dec 12 13:03:20 geode suhosin[27420]: ALERT - configured request variable name length limit exceeded - dropped variable '-d_allow_url_include=On_-d_auto_prepend_file=__/__/__/__/__/__/__/__/__/__/__/__/etc/passwd' (attacker '91.150.201.195', file '/var/www/board/index.php')

Da steht was von "Attacker" und eine IP. Was bedeutet das?

Gruß, IceRage
 
da hat jemand versucht an dein password file zu kommen ... vermutlich irgend ein bot der das mit x tausend boards wie deinem pro tag macht ... der angriff wurde erkannt und ging aus sicht deines systems von besagter ip aus ... was aber vermutlich nur ein übernommener server oder dergleichen ist
 
Das bedeutet, dass irgendeiner von den Milliarden Bots im Web deinen Webserver auf typische Sicherheitslücken gescannt hat, in dem Fall wohl ein Directory Traversal über eine PHP-Sicherheitslücke, die bei einem aktuellen Webserver aber bereits gepatcht sein sollte.
 
Da muss man den betreibern solcher bots ja eigentlich noch dankbar sein, dass sie so freundlich sind und sicherheitslücken in software suchen ;)

Aber wenn sie welche gefunden haben, werden sie wohl kaum darüber auskunft erteilen oder? ;)
 
IceRage hat gesagt.:
Aber wenn sie welche gefunden haben, werden sie wohl kaum darüber auskunft erteilen oder? ;)
Zum Vergrößern anklicken....

Da das eine typische Signatur für einen Scan eines Botnets ist, die ich auch ständig in den Webservern finde, die ich verwalte, wirst du darüber vermutlich nicht informiert. Umso wichtiger ist es, dass man seine Logs auf ungewöhnliche Einträge überwacht und/oder eine WAF verwendet. Bots verbreiten sich heutzutage vollständig automatisiert und verwenden bis auf wenige Ausnahmen bekannte Sicherheitslücken in Webapps und Webservern.

Wenn solche Angriffsversuche allerdings von einzelnen Leuten kommen, dann kann es durchaus auch sein, dass du über gefundene Lücken informiert wirst, da nicht jeder unbedingt gleich deinen Server übernehmen will.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben