Ich erhalte in letzter Zeit sehr viele Search und POST Requests -
wahrscheinlich von Hackern. Außerdem werden regelmäßig meine Ordner
nach PHP, SQL ect. durchsucht.
Solch Zugriffe machen inzwischen fast die Hälfte meiner Logeinträge aus.

bitte schauen sie sich einmal diese erfolgreichen Zugriffe auf AWstats an:

GET // adm/awstats/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compati....
GET // cgi-local/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatibl....
GET // estadisticas/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compat
GET // estadisticas/cgi-bin/awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0
GET // usage/awstats. pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatible;
GET // webstats/ awstats.pl HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatibl
GET //admin/ awstats.pl HTTP/1.1" 200 3759 "-" "Mozilla/4.0 (compatible;


außerdem erfolgreich waren z.b.
OPTIONS / HTTP/1.1" 200 187 "-" "Microsoft-WebDAV-MiniR..
PROPFIND /alice HTTP/1.1" 301 540 "-" "Microsoft-WebDAV...


Es erfolgten auch einige Zugriffe auf externe IPs. Ist der Server
eventuell als Proxy benutzt worden?
GET http://www.k5.ru/ HTTP/1.1" 200 677 "-" "Mozilla/4.0 (compatib....
GET http://www.intel.com/ HTTP/1.1" 200 677 "-" "Mozilla/4.0 (comp....


In den Fehler-Logs sehe ich regelmäßig solche Einträge, die anzeigen,
daß systematisch nach speziellen Datein gesucht wird. Vieleicht läßt
sich ja der Zugriff auf httpdocs irgendwie verhindern?

/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.5.4....
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.5.1....
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.2.3
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.2.6
/home/httpd/vhosts/wonderland.com/httpdocs/myadmin
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.0
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.0-pl1
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.3-pl1
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.3
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.3-rc1
/home/httpd/vhosts/wonderland.com/httpdocs/phpMyAdmin-2.6.2-rc1


Und dann gibt es noch erfolglose Versuche mit SEARCH Anfragen. Es
werden riesige Strings wie zb.: "....x04H\x04H...."
"x90\x90\x90....." gesendet. Sofort danch kommt eine POST Anfrage, zum
Glück mit einer Fehlermeldung.





Wie schätzen Sie insbesondere die erfolgreichen Zugriffe auf Awstas
ein? (bzw. WebDav)
Am liebsten wäre mir wenn außschließlich die normalen Web Dateien
zugänglich sind. Alle anderen Dateien unter /home oder /httpdocs
sollten generell gesperrt sein. Wäre das machbar?

Solche Angriffe werden mit speziellen Tools durchgeführt, die nach Sicherheitslücken im Server, ebensolchen in installierten Web-Anwendungen und nach Anwendungen, die - sofern nicht geschützt - per se eine Sicherheitslücke sind (typisches Beispiel: phpMyAdmin). Mit "nikto" kannst du selbst deinen Server testen.

Um einzelne Ordner/Dateien zu schützen kannst du unter Apache z.B. Anmeldung per User/Passwort machen oder per IP nur Zugriffe aus dem LAN (wenn du im selben LAN bist wie der Server) zulassen. Dazu setzt du einfach eine Directory-Direktive, mehr in der Apache-Doku. gruß, Christoph

http://www.heise.de/security/suche.shtml?T=awstats&Suchen=los
Sicher, dass die aktuellste Version von awstats installiert ist? Möglicherweise ist der Rechner inzwischen von einem Wurm ( http://www.heise.de/security/result.xhtml?url=/security/news/meldung/69855&words=AWStats) infiziert worden..


In den Fehler-Logs sehe ich regelmäßig solche Einträge, die anzeigen,
daß systematisch nach speziellen Datein gesucht wird. Vieleicht läßt
sich ja der Zugriff auf httpdocs irgendwie verhindern?
Ja,durchs Abschalten des Apachen ;) httpdocs ist das Standard-Verzeichnis, in dem Webseiten aufbewahrt werden.


Wie schätzen Sie insbesondere die erfolgreichen Zugriffe auf Awstas
ein? (bzw. WebDav)
Möglicherweise ist der Rechner von einem Wurm infiziert. Aber allein daraus, dass ein erfolgreicher zugriff auf awstat-Dateien stattgefunden hat, lässt sich dazu nix sagen. Schliesslich sind sie dafür _da_, abgerufen zu werden. Erst wenn sie mit passend-bösartigen Parameter abgerufen werden, entsteht ein Problem.
Eventuell auch interessant zu diesem Thema:
http://blogs.ittoolbox.com/security/investigator/archives/003227.asp
http://www.heise.de/security/news/meldung/62744