Versucht jemand meine Webseite zu hacken?

Hi,

das sind irgendwelche Bots, die dein System angreifen. Das passiert täglich milliardenfach auf der Welt. Ist so, kannst du nichts bei machen und musst damit leben. Halte dein System aktuell und sie können dir nichts tun. Wird es zu bunt, kannst du von Linux Seite her den Host sperren für ein paar Minuten und hoffen das er nicht wieder kommt.

Wobei wenn ich mir den referrer ansehe könnte es auch sein, das dasJS Menü irgendwelchen Unfug aufruft. Das sind ja Leerzeichen mit irgendwelchen Divs drin. Du könntest mal Firebug auf deiner Seite laufen lassen und schauen, was für Netzwerkanfragen beim Seitenaufruf laufen.

---

Viele Grüße,

Kars-T
| comm-press

Hallo Kars-T,

danke für die Info, hoffe dass es wirklich nur "normale" Webattacken sind. Na ja, wie du schon gesagt hast, immer alles aktuell halten.

Jein. Es gibt natürlich auch die Chance, dass mal ein Exploit umgeht für einen noch nicht gefixten Bug in einem Modul oder im Core. Auch das "Erraten" von Passwörtern hat mit der Aktualität des Codes nichts zu tun. Dazu gehören auch Exploits die mit dem CMS nichts zu tun haben und weiter unten ansetzen.

Es gibt u.a. mit phpids und etwas weiter unten, mit mod_security noch mehr Möglichkeiten auch Bots von Skript-Kiddies noch viel früher vor die Wand laufen zu lassen.

--
mortendk: everytime you use contemplate... Thor is striking down from above with his mighty hammer - crushing and killing a kitten!

webseiter.de

Ja, mit phpids setze ich mich gerade auseinander. Aber bevor ich es auf meiner "Live-Seite" laufen lasse, muss ich damit noch ein bisschen spielen. Mir geht es im Augenblick vorallem darum, dass ich "ungewöhnliches" Verhalten mitprotokolliere.
Ansonsten ist mein Admin-Passwort sicher nicht zu erraten und meine Benuter haben nur sehr eingeschränke Rechte auf der Seite. Sollte also auch von dieser Seite nicht viel passieren können.

Meine Antwort bezog sich auch mehr darauf, das man damit leben muss das es passiert und nicht, das man völlig hilflos wäre ;)

Mod_securtiy und PHPIDS kannte ich beides nicht.
mod_security ist aus Debian rausgeflogen, anscheinend wegen Lizenz Problemen, was es für mich erstmal suspekt macht. Scheint man auch nicht einfach so rutnerladen zu können. mod_ifier war wohl mal ein Nachfolger und ist anscheinend tot. Schade, sah interessant aus.

PHPIDS klingt ja ganz interessant, aber ich finde, das man hier nur das Problem verschiebt, da ich da keiner PHP Anwendung mehr trauen würde, als der anderen.

fail2ban setze ich sonst gern ein. Das kann man auch auf seine Apache logs los lassen und dann die IPs blocken.

---

Viele Grüße,

Kars-T
| comm-press

Standardmäßig ist vieles bei Debian nicht dabei. Das mache ich nicht zum Gradmesser zur Nützlichkeit eines Tools, schließlich hat das u.a. Suns JRE / JDK auch hinter sich.

Fail2ban läuft eh auf jedem meiner Server, teils noch mit eigenen Jails, die von Meldungen aus eigenen ModSec-Filtern getriggert werden.

Grundsätzlich ist Sicherheit immer relativ und absolute Sicherheit für ein laufendes System nicht erreichbar. Man muss es anderen nicht unnötig leicht machen, so wie aber der Aufwand im Verhältnis zum Nutzen des potenzeillen Schutzes des jeweiligen Systems stehen muss. Ne Online-Banking-Anwendung oder die Website des Weißen Haus wird sicher mit anderem Aufwand gesichert als die Website vom Unterwasserhalmaverein Hintertupfingen.

--
mortendk: everytime you use contemplate... Thor is striking down from above with his mighty hammer - crushing and killing a kitten!

webseiter.de

fail2ban kommt bei mir nicht in Frage, immerhin befindet sich die Webseite bei einem Provider, leider kein eigener Server vorhanden :-(

Ansonten macht phpids einen recht guten Eindruck. Wie gesagt, mir geht es primär um ungewöhnliches Verhalten und falls es nötig ist, phpids kann auch IP sperren, oder umleiten.