Auffällige Zugriffe auf meinen WHS

brad · Beitrag von **brad** » 25. Sep 2009, 06:56

Tag zusammen,

ich verwende das Add-In "Web Logs", um zu protokollieren, wer oder was so alles auf meinen WHS zugreift. In der Regel finde ich dort unter "URL" fast ausschließlich Einträge bzw. Zugriffe auf Pfade wie "/default.html" oder ähnlich, also wahrscheinlich den versuchten Zugriff auf meine WHS Homepage durch irgendjemanden. Heute habe ich dort aber folgende merkwürdige Zugriffe gefunden, die ich nicht zuordnen kann:

/roundcube/CHANGELOG
/mail/CHANGELOG
/webmail2/CHANGELOG
/webmail/CHANGELOG
/roundcubemail/CHANGELOG
/rcmail/CHANGELOG
/CHANGELOG
/rc/CHANGELOG
/email/CHANGELOG
/mail2/CHANGELOG
/Webmail/CHANGELOG
/components/com_roundcube/CHANGELOG
/joomla/components/com_roundcube/CHANGELOG
/squirrelmail/CHANGELOG
/vhcs2/tools/webmail/CHANGELOG
/round/CHANGELOG
/mailweb/CHANGELOG

Was genau wird hier abgefragt? Sieht nach irgendwelchen Mail-Funktionen aus. Die WHOIS-Abfrage weist auf einen Rechner aus Japan hin. Versucht hier möglicherweise irgend ein kleiner Japaner, meinen WHS zu hacken?

Zusatzfrage: Woran kann ich eigentlich erkennen, ob der unter der IP aufgeführte Rechner nur den Zugriff auf das entsprechende Verzeichnis versucht hat oder ob es ihm wirklich gelungen ist?

Leute, beruhigt mich bitte mal

Brad

Beitrag von **sTunTe** » 25. Sep 2009, 08:43

Hallo Brad.

viewtopic.php?p=41815#p41815

Gruß
sTunTe

brad · Beitrag von **brad** » 25. Sep 2009, 19:25

Hallo sTunTe,

sTunTe hat geschrieben:Hallo Brad. viewtopic.php?p=41815#p41815

Gruß
sTunTe

Danke für den Hinweis, aber so richtig konkret hilft mir das nicht wirklich weiter. Unabhängig davon, dass ich gerne wissen würde, auf WAS hier zugegriffen wird, würde mich noch deutlich mehr interessieren, woran genau man im Zweifelsfall erkennen kann, ob dieser Zugriff dann auch tatsächlich gelungen ist.

Brad

Beitrag von **sTunTe** » 25. Sep 2009, 23:45

brad hat geschrieben:Hallo sTunTe,

Hallo Brad

brad hat geschrieben:Danke für den Hinweis,

Gerngeschehen.

brad hat geschrieben:aber so richtig konkret hilft mir das nicht wirklich weiter.

Oh jeh...
Dann eben auf dem Silbertablett serviert:

brad hat geschrieben:Unabhängig davon, dass ich gerne wissen würde, auf WAS hier zugegriffen wird,

Auf nicht vorhande Ordner...
Du hast keinen Apache-Webserver.

brad hat geschrieben:würde mich noch deutlich mehr interessieren, woran genau man im Zweifelsfall erkennen kann, ob dieser Zugriff dann auch tatsächlich gelungen ist.

An den Logs des IIS.

Es findet eine Anfrage nach den von Dir oben genannten Odnern statt.
Da diese Ordner nicht existieren, bekommt der "Angreifer" lediglich die Fehlerseite 404 des IIS zu Gesicht....
Bzw. da hier ein Script läuft, bekommt eben jenes Script diese zu Gesicht.
Das kannst Du auch selbst ausprobieren, indem Du versuchst einen der Ordner aufzurufen.
z.b.
http://123.123.123.123/roundcube/CHANGELOG
Die IP ersetzt Du durch die öffentliche IP (WAN-Adresse) Deines WHS bzw. Routers.

Gruß
sTunTe

brad · Beitrag von **brad** » 28. Sep 2009, 08:36

Hi,

sTunTe hat geschrieben:Oh jeh...
Dann eben auf dem Silbertablett serviert:

Na, geht doch

So versteh' ich es auch... man steht halt schon mal auf dem Schlauch

sTunTe hat geschrieben: Auf nicht vorhande Ordner...
Du hast keinen Apache-Webserver.

Korrekt.

sTunTe hat geschrieben:Es findet eine Anfrage nach den von Dir oben genannten Odnern statt.
Da diese Ordner nicht existieren, bekommt der "Angreifer" lediglich die Fehlerseite 404 des IIS zu Gesicht....
Bzw. da hier ein Script läuft, bekommt eben jenes Script diese zu Gesicht.

Soweit verstanden. Aber ich sehe eben nur, dass auf das Verzeichnis zugegriffen werden "sollte". Jetzt aber mal auf einen existierenden Ordner bezogen: Woran würde ich es erkennen, wenn der Zugriff darauf gelungen wäre?

Gruß,
Brad

Beitrag von **sTunTe** » 28. Sep 2009, 21:06

brad hat geschrieben:Soweit verstanden. Aber ich sehe eben nur, dass auf das Verzeichnis zugegriffen werden "sollte". Jetzt aber mal auf einen existierenden Ordner bezogen: Woran würde ich es erkennen, wenn der Zugriff darauf gelungen wäre?

Garnicht.
Da die Webseiten über ASP generiert werden, kann man anhand der LogFiles erkennen das ein Zugriff erfolgt ist, jedoch nicht worauf.

Eine erfolgreiche Anmeldung erkennt man an der Zeile

Code: Alles auswählen

2009-09-28 18:48:07 W3SVC1 192.168.0.1 GET /remote/Default.aspx ........................

Gruß
sTunTe

Beitrag von **Nobby1805** » 28. Sep 2009, 21:16

Du könntest natürlich die Überwachung einschalten ...

Wenn Sie den Verzeichnisdienstzugriff oder den Objektzugriff überwachen möchten, bestimmen Sie, für welche Objekte und welche Zugriffstypen die Überwachung erfolgen soll. Wenn Sie beispielsweise alle Versuche von Benutzern zum Öffnen einer bestimmten Datei überwachen möchten, können Sie die Überwachungsrichtlinieneinstellungen in der Objektzugriff-Ereigniskategorie so konfigurieren, dass sowohl erfolgreiche als auch fehlgeschlagene Versuche zum Lesen der Datei aufgezeichnet werden.

brad · Beitrag von **brad** » 30. Sep 2009, 07:04

Nobby1805 hat geschrieben:Du könntest natürlich die Überwachung einschalten ...

Wenn Sie den Verzeichnisdienstzugriff oder den Objektzugriff überwachen möchten, bestimmen Sie, für welche Objekte und welche Zugriffstypen die Überwachung erfolgen soll. Wenn Sie beispielsweise alle Versuche von Benutzern zum Öffnen einer bestimmten Datei überwachen möchten, können Sie die Überwachungsrichtlinieneinstellungen in der Objektzugriff-Ereigniskategorie so konfigurieren, dass sowohl erfolgreiche als auch fehlgeschlagene Versuche zum Lesen der Datei aufgezeichnet werden.

Aahh..

Danke für den guten Hinweis, das werde ich mal ausprobieren!

Auffällige Zugriffe auf meinen WHS

Auffällige Zugriffe auf meinen WHS

Re: Auffällige Zugriffe auf meinen WHS

Re: Auffällige Zugriffe auf meinen WHS

Re: Auffällige Zugriffe auf meinen WHS

Re: Auffällige Zugriffe auf meinen WHS

Re: Auffällige Zugriffe auf meinen WHS

Re: Auffällige Zugriffe auf meinen WHS

Re: Auffällige Zugriffe auf meinen WHS