Ankündigung

Einklappen
Keine Ankündigung bisher.

Attacke auf Web-Server bis zum 503 Status-Code

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Attacke auf Web-Server bis zum 503 Status-Code

    Hi Leute!
    Wollte nur mal wissen, ob es ok ist oder muss ich mir welche Sorgen machen? (auf dem Web-Hosting gibt's keine WordPress)
    Angehängte Dateien
    Signaturrrrrrr

  • #2
    bis hin zu ?
    hab mal auf 900ff gescrolled,das meintest du oder ?
    da scanned einer nach sicherheitslöchern kann passieren, kann schlimmer kommen .
    ob du dir sorgen machen musst ? das musst du selbst wissen. ein apt
    https://en.wikipedia.org/wiki/Advanc...sistent_threat
    ist das wohl eher nicht..

    Kommentar


    • #3
      Hi Tom, ja, das hab ich gemeint. Habe keine Erfahrung damit. Mir ist's nur unklar, wieso es mit 503 geantwortet wird. Und vermute - entweder wurde den ganzen PC-Server so attakiert, oder ich bei dem Hoster, sagen wir mal, eine beschränkte Anzahl der HTTP-Anfragen pro Zeitraum haben DARF.
      HTTP-503.png
      Sonst, habe ich auf meiner Webseite kaum was von Scripten + Static. Vom Hoster bekamm ich keine Beschwerde, dass meine Scripten irgendwelche Sicherheitslucken gehabt hätten. Also, hoffe ich dass das nicht mein Problem ist ...
      Signaturrrrrrr

      Kommentar


      • #4
        Code:
        156.146.33.0 - - [03/Sep/2024:18:46:59 +0200] "GET /wp-content/plugins/apikey/ HTTP/1.1" 404 - example.com "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" "-"
        13.79.229.0 - - [03/Sep/2024:18:51:04 +0200] "GET /wp-content/themes/astra/inc/ki1k.php HTTP/1.1" 503 299 example.com "-" "-" "-"
        über 4minuten nach der letzten anfrage halte ich ein recourcenbproblem für nicht wahrscheinlich.

        ich denke es leigt eher an den anderen daten, example.com - - -

        allerdings wäre die genaue antwort nett, stell es doch nach

        Kommentar


        • #5
          Bei mir landen Penetrierer-IPs automatisch in der Firewall, aktuell werden >2500 geblockt und weitere >3000 beobachtet und dann bei Wiederholung länger geblockt.

          Die Hoffnung ist, das sie die Lust verlieren ...

          Kommentar


          • #6
            Die Response 503 wird vom Hoster ausgegeben (nicht von mir).
            Schon in Zeile 54 kann man sehen - selbst auf existierende Datei "/index.php" wurde mal 503 zurückgeworfen. (dachte schon mal, weil UserAgent fehlt. Doch z.B. die Zeile 314 ist mit UserAgent).
            Der erste Strich nach dem "example.com" ist Referer-header vom User. Der dritte Strich, weiß ich nicht, der fehlt überall.
            Also denke ich, es ist doch Problem vom Server-Betreiber, was heißt, dass das Spielchen geht an mir vorbei ...

            1000-fachweise IP-Adressen zu blokieren gefählt mir nicht besonders. An gleichen IPs können doch auch die "Guten" Users sitzen ...

            Meinerseits, in der ganzen Geschichte steht nur
            Code:
            ErrorDocument 404 /index.php
            und dann in index.php für alle "falsche" Anfragen
            Code:
            else return;
            das wars ...
            Signaturrrrrrr

            Kommentar


            • #7
              Die Response 503 wird vom Hoster ausgegeben (nicht von mir).
              ((.))
              Schon in Zeile 54 kann man sehen - selbst auf existierende Datei "/index.php" wurde mal 503 zurückgeworfen. (dachte schon mal, weil UserAgent fehlt. Doch z.B. die Zeile 314 ist mit UserAgent).
              das erste ist mir klar , zum zweiten, gepostete daten besser aufbereiten ?

              aber auch da kann es nicht an den abfragen liegen die du postet:
              85.208.96.0 - - [03/Sep/2024:11:53:45 +0200] "GET / HTTP/1.1" 200 3560 example.com "-" "Mozilla/5.0 (compatible; SemrushBot/7~bl; +http://www.semrush.com/bot.html)" "-"
              52.169.223.0 - - [03/Sep/2024:12:01:03 +0200] "GET /index.php HTTP/1.1" 503 299 example.com "-" "-" "-"
              knap acht minuten ?


              1000-fachweise IP-Adressen zu blokieren gefählt mir nicht besonders. An gleichen IPs können doch auch die "Guten" Users sitzen ...
              wegen sowas eher nicht ..nicht auf php ebene

              Kommentar


              • #8
                Zeiträume spielen hier keine Rolle. Das sind die Logs zu meiner Webseite bei der Hoster für ganzen Tag (vom Hoster generiert).
                Deswegen glaube ich, ich wurde nicht allein attakiert, vielle parallele Webseiten bei dem Server wahrscheinlich auch, und das hat zur Überlastungen geführt.
                Also, heißt es, das ist nicht mein Problem. Wollte mich nur vergewissern, ob es viel ist oder geht schon, und wie die Andere damit leben.
                Signaturrrrrrr

                Kommentar


                • #9
                  Zitat von K313 Beitrag anzeigen
                  1000-fachweise IP-Adressen zu blokieren gefählt mir nicht besonders. An gleichen IPs können doch auch die "Guten" Users sitzen ...
                  Hatte ich auch einmal gedacht, zu 99,9% sind es Server-Bots oder VPNs, welche zum Penetrieren genutzt werden.

                  Die normalen User kommen über die Domains oder Suchmaschinen und nutzen die vorhandenen Links, aber denken sich keine URLs aus.
                  Somit kann man z.B. alle WP-Links sperren, wenn man kein WP nutzt.

                  Es werden auch gerne andere Dinge ( phpmyadmin, filemanager, jquery-file-upload ) gesucht, welche wir nicht nutzen, aber normale User niemals aufrufen würden.

                  Das läuft inzwischen automatisch per Fehleranalyse und Cronjob.

                  Manche IPs hatten in wenigen Minuten bis zu 1000 verschiedene URLs einer Domain aufgerufen, wir nutzen einige.
                  So ist dann auch der Traffic ein wenig gesunken, das fällt besonders in den Webserverlogs der Nachtstunden auf.

                  Kommentar


                  • #10
                    Mit HTTP 503 antwortet der Loadbalancer/Proxy, wenn der nachgelagerte App-Server nicht (rechtzeitig) antwortet.
                    Ein solcher Code dürfte aber nicht in deinem Apache Log auftauchen, es sei denn, dein Webserver fungiert irgendwo selber als Proxy (ruft z.B. einen nachgelagerten Service/API auf, welcher zu lange benötigt)

                    Sollte der Appserver aber korrekt laufen und die angefragte Resource eigentlich gültig sein, braucht das Script einfach zu lange - dann hättest du ggfs. ein Problem in deiner Anwendung.

                    "Zu lange" - das bedeutet lediglich, das der Timeout auf dem Loadbalancer kleiner eingestellt ist, als der Timeout der Anwendung. Loadbalancer haben in der Regel eine kurze Lunte, irgendwo zwischen 30 und 60 Sekunden. Antwortet der Appserver nicht in dieser Zeit, schliesst der LB die Verbindung und schickt dem Client ein 503.
                    Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

                    Kommentar


                    • #11
                      Danke für den Stoff zum Denken, in der Richtung hab nicht geschnüffelt.
                      Wenn ich's richtig verstehe, der Loadbalancer steht vor meiner Webseite (und auch vor Apache ?), deswegen, wie du sagst, solten 503-Response von dem Loadbalancer in meiner Apache-Logs nicht landen.
                      Zum Fall, wenn mein Webserver fungiert irgendwo selber als Proxy - heißt es, dass ein Request kommt erst zur Apache an, und dann Apache ruft den Loadbalancer, und dann der Loadbalancer (oder auch Apache selbst) ruft meinen PHP-Script auf?..

                      Was mich auffrißt ist, dass mein einzige PHP-Script, der durch ErrorDocument 404 aufgerufen wird, ist winzig klein und macht so gut wie nix.
                      Da werden 4 URLs überprüft, einer macht Location, schreibt etwa 200-300 B in eine Datei und exit; Die andere sind Counter, die auch manchmal schreiben was in eine Datei und aux exit;
                      Sonst, wenn kein URL stimmt, einfach return;

                      Werde dann mal Timing checken, wieviel Zeit verbraucht Apache und wieviel meiner PHP-Script (obwohl bin mir sicher der kommt mit Millisekunden fertig aus).
                      Signaturrrrrrr

                      Kommentar


                      • #12
                        Da werden 4 URLs überprüft
                        Dh. du holst dir Content von extern?
                        Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

                        Kommentar


                        • #13
                          Ne ne ne. Es ist einfach mein Router so.
                          Signaturrrrrrr

                          Kommentar


                          • #14
                            Ich komme nicht ganz mit...
                            Dein Script liegt bei einem Webhoster, überprüft aber 4 URLs auf deinem Router?
                            Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

                            Kommentar


                            • #15
                              /.htaccess
                              Code:
                              ErrorDocument 404 /index.php
                              /index.php
                              PHP-Code:
                              <?php
                              switch ( getenv'REQUEST_URI' ))
                              {
                                  case 
                              '...': ...; break; - 4-mals
                                  
                              default: return; - mach apachewas du willst
                              }
                              hier mache ichwas ich will
                              so ungefähr.
                              Signaturrrrrrr

                              Kommentar

                              Lädt...
                              X