Seite 1 von 1
Auffällige Zugriffe auf meinen WHS
Verfasst: 25. Sep 2009, 06:56
von brad
Tag zusammen,
ich verwende das Add-In "Web Logs", um zu protokollieren, wer oder was so alles auf meinen WHS zugreift. In der Regel finde ich dort unter "URL" fast ausschließlich Einträge bzw. Zugriffe auf Pfade wie "/default.html" oder ähnlich, also wahrscheinlich den versuchten Zugriff auf meine WHS Homepage durch irgendjemanden. Heute habe ich dort aber folgende merkwürdige Zugriffe gefunden, die ich nicht zuordnen kann:
/roundcube/CHANGELOG
/mail/CHANGELOG
/webmail2/CHANGELOG
/webmail/CHANGELOG
/roundcubemail/CHANGELOG
/rcmail/CHANGELOG
/CHANGELOG
/rc/CHANGELOG
/email/CHANGELOG
/mail2/CHANGELOG
/Webmail/CHANGELOG
/components/com_roundcube/CHANGELOG
/joomla/components/com_roundcube/CHANGELOG
/squirrelmail/CHANGELOG
/vhcs2/tools/webmail/CHANGELOG
/round/CHANGELOG
/mailweb/CHANGELOG
Was genau wird hier abgefragt? Sieht nach irgendwelchen Mail-Funktionen aus. Die WHOIS-Abfrage weist auf einen Rechner aus Japan hin. Versucht hier möglicherweise irgend ein kleiner Japaner, meinen WHS zu hacken?
Zusatzfrage: Woran kann ich eigentlich erkennen, ob der unter der IP aufgeführte Rechner nur den Zugriff auf das entsprechende Verzeichnis versucht hat oder ob es ihm wirklich gelungen ist?
Leute, beruhigt mich bitte mal
Brad
Re: Auffällige Zugriffe auf meinen WHS
Verfasst: 25. Sep 2009, 08:43
von sTunTe
Re: Auffällige Zugriffe auf meinen WHS
Verfasst: 25. Sep 2009, 19:25
von brad
Hallo sTunTe,
Danke für den Hinweis, aber so richtig konkret hilft mir das nicht wirklich weiter. Unabhängig davon, dass ich gerne wissen würde, auf WAS hier zugegriffen wird, würde mich noch deutlich mehr interessieren, woran genau man im Zweifelsfall erkennen kann, ob dieser Zugriff dann auch tatsächlich gelungen ist.
Brad
Re: Auffällige Zugriffe auf meinen WHS
Verfasst: 25. Sep 2009, 23:45
von sTunTe
brad hat geschrieben:Hallo sTunTe,
Hallo Brad
brad hat geschrieben:Danke für den Hinweis,
Gerngeschehen.
brad hat geschrieben:aber so richtig konkret hilft mir das nicht wirklich weiter.
Oh jeh...
Dann eben auf dem Silbertablett serviert:
brad hat geschrieben:Unabhängig davon, dass ich gerne wissen würde, auf WAS hier zugegriffen wird,
Auf nicht vorhande Ordner...
Du hast keinen Apache-Webserver.
brad hat geschrieben:würde mich noch deutlich mehr interessieren, woran genau man im Zweifelsfall erkennen kann, ob dieser Zugriff dann auch tatsächlich gelungen ist.
An den Logs des IIS.
Es findet eine Anfrage nach den von Dir oben genannten Odnern statt.
Da diese Ordner nicht existieren, bekommt der "Angreifer" lediglich die Fehlerseite 404 des IIS zu Gesicht....
Bzw. da hier ein Script läuft, bekommt eben jenes Script diese zu Gesicht.
Das kannst Du auch selbst ausprobieren, indem Du versuchst einen der Ordner aufzurufen.
z.b.
http://123.123.123.123/roundcube/CHANGELOG
Die IP ersetzt Du durch die
öffentliche IP (WAN-Adresse) Deines WHS bzw. Routers.
Gruß
sTunTe
Re: Auffällige Zugriffe auf meinen WHS
Verfasst: 28. Sep 2009, 08:36
von brad
Hi,
sTunTe hat geschrieben:Oh jeh...
Dann eben auf dem Silbertablett serviert:
Na, geht doch
So versteh' ich es auch... man steht halt schon mal auf dem Schlauch
sTunTe hat geschrieben:
Auf nicht vorhande Ordner...
Du hast keinen Apache-Webserver.
Korrekt.
sTunTe hat geschrieben:Es findet eine Anfrage nach den von Dir oben genannten Odnern statt.
Da diese Ordner nicht existieren, bekommt der "Angreifer" lediglich die Fehlerseite 404 des IIS zu Gesicht....
Bzw. da hier ein Script läuft, bekommt eben jenes Script diese zu Gesicht.
Soweit verstanden. Aber ich sehe eben nur, dass auf das Verzeichnis zugegriffen werden "sollte". Jetzt aber mal auf einen
existierenden Ordner bezogen: Woran würde ich es erkennen, wenn der Zugriff darauf
gelungen wäre?
Gruß,
Brad
Re: Auffällige Zugriffe auf meinen WHS
Verfasst: 28. Sep 2009, 21:06
von sTunTe
brad hat geschrieben:Soweit verstanden. Aber ich sehe eben nur, dass auf das Verzeichnis zugegriffen werden "sollte". Jetzt aber mal auf einen existierenden Ordner bezogen: Woran würde ich es erkennen, wenn der Zugriff darauf gelungen wäre?
Garnicht.
Da die Webseiten über ASP generiert werden, kann man anhand der LogFiles erkennen das ein Zugriff erfolgt ist, jedoch nicht worauf.
Eine erfolgreiche Anmeldung erkennt man an der Zeile
Code: Alles auswählen
2009-09-28 18:48:07 W3SVC1 192.168.0.1 GET /remote/Default.aspx ........................
Gruß
sTunTe
Re: Auffällige Zugriffe auf meinen WHS
Verfasst: 28. Sep 2009, 21:16
von Nobby1805
Du könntest natürlich die Überwachung einschalten ...
Wenn Sie den Verzeichnisdienstzugriff oder den Objektzugriff überwachen möchten, bestimmen Sie, für welche Objekte und welche Zugriffstypen die Überwachung erfolgen soll. Wenn Sie beispielsweise alle Versuche von Benutzern zum Öffnen einer bestimmten Datei überwachen möchten, können Sie die Überwachungsrichtlinieneinstellungen in der Objektzugriff-Ereigniskategorie so konfigurieren, dass sowohl erfolgreiche als auch fehlgeschlagene Versuche zum Lesen der Datei aufgezeichnet werden.
Re: Auffällige Zugriffe auf meinen WHS
Verfasst: 30. Sep 2009, 07:04
von brad
Nobby1805 hat geschrieben:Du könntest natürlich die Überwachung einschalten ...
Wenn Sie den Verzeichnisdienstzugriff oder den Objektzugriff überwachen möchten, bestimmen Sie, für welche Objekte und welche Zugriffstypen die Überwachung erfolgen soll. Wenn Sie beispielsweise alle Versuche von Benutzern zum Öffnen einer bestimmten Datei überwachen möchten, können Sie die Überwachungsrichtlinieneinstellungen in der Objektzugriff-Ereigniskategorie so konfigurieren, dass sowohl erfolgreiche als auch fehlgeschlagene Versuche zum Lesen der Datei aufgezeichnet werden.
Aahh..
Danke für den guten Hinweis, das werde ich mal ausprobieren!