OVH Community, your new community space.

100GB Server gehackt


Stefan
01.07.09, 15:00
"gutmütige" Bots werden dies wahrscheinlich nicht sein...

wie du in deinen Logs sehen kannst:
/php/news/design/standart/index_startseite_body.tpl
^^wurde 677.610x aufgerufen (1 Monat)

in den aktuellen Wochenstats ist diese überhaupt nicht mehr vorhanden, hast du diese entfernt ? war die Seite jemals bei dir vorhanden?

in den Stats siehst du noch andere Seiten, prüfe ob Sie dir bekannt vorkommen...

Wenn es ein eigenes programmiertes System ist, solltest du dies schnell erkennen, was dort richtig ist und was nicht....

Stefan

whyte
01.07.09, 14:27
Na mich wundert da eher der Status "200", der eine gültige Abfrage anzeigt, es wurden auch 1721 Bytes zurück geschickt.
Verwunderlich ist auch, dass eine reine .tpl Seite aufgerufen wird, mit der eigentlich ja nix weiter anzufangen ist, es sei denn, es ist erlaubt, in diesen .tpl php auszuführen.

Wenn man die Seite jetzt aufruft, gibt es allerdings einen Status "404", korrekterweise

2Fast4UeXtrem
01.07.09, 14:23
Hallo,

ist das wirklich so? Gutmütige Bots die nicht schaden wollen suchen quasi 'minütlich' die selbe nicht vorhandene ".tpl"-Datei, im Pollingverfahren mit jeweils 10 Anfragen in der Sekunde?

Wenn es sowas gibt, sollte es eine Möglichkeit geben sich dagegen zu schützen.

Ich habe vielmehr den VErdacht, dass jmd. der uns nicht owhl gesonnen ist unsere Seit speziell irgendwo eingetragen hat :-(

Stefan
01.07.09, 14:10
Dies sind meistens Bots, Tools etc die nach definierten Regeln suchen.
Daher kann dies schon sein, dass Daten gesucht werden....die gar nicht vorhanden sind.

Stefan

2Fast4UeXtrem
01.07.09, 12:07
Hallo Stefan,

vielen Dank für Deine schnelle Antwort.
Ein CMS ist nicht installiert, vielmehr etwas eigenes, aber wie gesagt, die Datei taucht ja auch in de Logs auf unter GET wenn sie garnichtmehr da ist, bzw., die index.php ne ganz leer Datei ist

Grüße,
BennY

Stefan
01.07.09, 12:01
Wenn ein CMS-System etc vorhanden ist, prüfe ab du die aktuelle Version nutzt.

Frage 1.] Kann ich IP's über den Manager BLOCKEN?
Dies ist nicht möglich, aber per htaccess könntest du IP's oder IP-Bereiche sperren...

Stefan

2Fast4UeXtrem
30.06.09, 17:35
Hallo liebe User von OVH,

wir sind seid annährend 4 Jahren OVH Kunde und haben einige Produkte hier gehostet. Darunter auch eine Domain (projekt2007.info) mit angeshclossenem Shared Hosting mit 1000GP (gibtz heute glaube ich garnichtmehr, oder?).

In jedemfall wurde unsere Seite am 19.06 auf GEHACKT gesetzt.
Ich habe in den Logs geguckt und erkannt, dass irgendetwas minütlich dutzende Anfragen sendet auf ein und dieselbe Datei, auch wenn ich diese entfernt habe:

87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_body.tpl HTTP/1.0" 200 629 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_startseite_body.tpl HTTP/1.0" 200 1721 "-" "-"
87.98.247.48 www.projekt2007.info - [30/Jun/2009:17:25:12 +0200] "GET /php/news/design/standart/index_body.tpl HTTP/1.0" 200 629 "-" "-"
Die IP wechselt hierbei leider bei fast jedem "polling" wie ich es einmal nennen mag...

Frage 1.] Kann ich IP's über den Manager BLOCKEN?

Frage 2.] Wie kann ich diese Anfargen die zu zu hoher CPU Last führen (und meine Seite so wohl in KLürze wieder vom System für Wochen sperren wird) verhindern?


Es ist kein Script, denn diese Datei wird nicht mehr aufgerufen, und trotzdem sind diese -ich sage mal- ANGRIFFE, weil es auf mich als Laie solche zu sein scheint da und die Logs werden aufgezeichnet...


Vielleicht hat ja jemand eine Ahnung oder ähnliche Erfahrungen gemacht?
Der Kundendienst kann mir nicht weiterhelfen, die haben das Hosting jetzt nur iweder auf OK gesetzt vor ner halben Stunde, aber die Angriffe (wenn es welche sind!) sind ja immenroch da...


Liebe Grüße,
BennY (icq: 115444573)