/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Masser af trafik ....
Fra : Ukendt


Dato : 07-04-10 20:59

Jeg har et lille familiesite - http://rath-møller.dk
Var lige inde og kigge på statistik forleden og kan se at siden normalt har
2-300 hits om måneden.
Men fra starten af marts har der været 3800 hits og over 1000 hits fra 1
april.
Stort set alle hits kommer fra 3 IP'adresser som jeg har fundet ud af er fra
Letland.

Er det nogen jeg skal være nervøs over ?

Mvh. Allan


 
 
Bjarke Andersen (08-04-2010)
Kommentar
Fra : Bjarke Andersen


Dato : 08-04-10 06:53

Allan Rath Møller <am at allan m dot dk> crashed Echelon writing
news:4bbce3ec$0$277$14726298@news.sunsite.dk:

> Men fra starten af marts har der været 3800 hits og over 1000 hits fra
> 1 april.
> Stort set alle hits kommer fra 3 IP'adresser som jeg har fundet ud af
> er fra Letland.
>
> Er det nogen jeg skal være nervøs over ?

Det kommer an på hvad de foretager sig, hvad siger loggen?

--
Bjarke Andersen

Stig Johansen (08-04-2010)
Kommentar
Fra : Stig Johansen


Dato : 08-04-10 13:54

Bjarke Andersen wrote:

> Allan Rath Møller <am at allan m dot dk> crashed Echelon writing
>>
>> Er det nogen jeg skal være nervøs over ?
>
> Det kommer an på hvad de foretager sig, hvad siger loggen?

Samt om han har usikre applikationer på sin side.
(Kan desværre ikke se 'danske domæner' i min foretrukne browser).

Men for at uddybe dit svar, så er det interessant at se på:
* Querystring - denne benyttes til både remote code execution samt SQL
injection.
* GET/POST - viser om det er blog/commentspam
* Accept-encoding - hvis der ikke understøttes gzip, er det med 99,9999%
sikkerhed en bot.

--
Med venlig hilsen
Stig Johansen

Stig Johansen (08-04-2010)
Kommentar
Fra : Stig Johansen


Dato : 08-04-10 16:54

Stig Johansen wrote:

>> Allan Rath Møller <am at allan m dot dk> crashed Echelon writing
>>>
>>> Er det nogen jeg skal være nervøs over ?

Glemte båndbreddeforbrug, med mindre du har fri båndbredde.
Afhængig af hvordan du takler disse 'hits' kan det være til ulejlighed -
specielt for 'the good guys', som må imødese en øget svartid.

--
Med venlig hilsen
Stig Johansen

Ukendt (09-04-2010)
Kommentar
Fra : Ukendt


Dato : 09-04-10 18:31

> Men for at uddybe dit svar, så er det interessant at se på:
> * Querystring - denne benyttes til både remote code execution samt SQL
> injection.
> * GET/POST - viser om det er blog/commentspam
> * Accept-encoding - hvis der ikke understøttes gzip, er det med 99,9999%
> sikkerhed en bot.


Undskyld mig men det er kulsort snak det du skriver for mig.

Domænet ligger hos Gigahost og umiddelbart har jeg ikke adgang til nogen log
men det prøver jeg lige at undersøge.
Det er et Joomla CMS hvis det kunne være til nogen nytte at vide.


Mvh. Allan



Stig Johansen (09-04-2010)
Kommentar
Fra : Stig Johansen


Dato : 09-04-10 23:25

"Allan Rath Møller" <am at allan m dot dk> wrote:

> Undskyld mig men det er kulsort snak det du skriver for mig.
Der er ikke noget at undskylde.

> Domænet ligger hos Gigahost og umiddelbart har jeg ikke adgang til nogen
> log men det prøver jeg lige at undersøge.

Hvis du ikke har adgang til 'grannuleringen' af logfiler, er det umuligt at
vurdere hvad 'de' er ude efter.

> Det er et Joomla CMS hvis det kunne være til nogen nytte at vide.

Hvis der ikke er (kendte) sårbarheder, og du ikke har sårbare appllikationer
ved siden af, er der ikke noget at være nervøs over (bortset fra en evt
ekstraregning for båndbreddeforbrug).

--
Med venlig hilsen
Stig Johansen

Rune Jensen (10-04-2010)
Kommentar
Fra : Rune Jensen


Dato : 10-04-10 22:54

Den 09-04-2010 19:30, Allan Rath Møller skrev:
>> Men for at uddybe dit svar, så er det interessant at se på:
>> * Querystring - denne benyttes til både remote code execution samt SQL
>> injection.
>> * GET/POST - viser om det er blog/commentspam
>> * Accept-encoding - hvis der ikke understøttes gzip, er det med 99,9999%
>> sikkerhed en bot.
>
>
> Undskyld mig men det er kulsort snak det du skriver for mig.
>
> Domænet ligger hos Gigahost og umiddelbart har jeg ikke adgang til nogen log
> men det prøver jeg lige at undersøge.
> Det er et Joomla CMS hvis det kunne være til nogen nytte at vide.

Som en anden skriver, så bør du tjekke og evt. opdatere CMSet og
plugins, hvis der er nyere versioner.

De tre IPer, som "invaderer" din side, kan du tjekke op imod

http://projecthoneypot.org/search_ip.php

samt

http://stopforumspam.com/

De vil kunne give dig et fingerpeg om, om det er ondsindede botter og
hvilken slags.

Du kan - i visse tilfælde - også bare søge på selve IPen på google. Hvis
de er meget ondsindede, vil mange have skrevet om dem udfra diverse
black-lists/forums.

Er det så nogle ondsindede IPer *), kan du evt. blocke dem via
..htaccess, eller måske der er en plugin til Jommla, som kan gøre dette -
jeg er hverken inde i PHP eller Joomla. Skal også sige, at IP-blocking
ikke altid er en fantastisk løsning, men at en bedre løsning kræver
noget serverside kodning.

Man kan sige meget udfra IP alene, men har man serverLOGgen, som Stig
siger, kan man nærmest nagle 100% hvad formålet med "besøgende" er.


MVH
Rune Jensen

*) NOTE: Som der står på projecthoneypot, er brugerne bag disse IPer i
mange tilfælde uskyldige, men de huser ondsindede botter (programmer)
uden at vide det, og det er disse botter man ser i LOGgen. Det kan være
både alm. computerbrugere og servere, som er inficerede.

Lars Raaby (08-04-2010)
Kommentar
Fra : Lars Raaby


Dato : 08-04-10 18:12

Den 07-04-2010 21:58, Allan Rath Møller skrev:
> Jeg har et lille familiesite - http://rath-møller.dk
> Var lige inde og kigge på statistik forleden og kan se at siden normalt har
> 2-300 hits om måneden.
> Men fra starten af marts har der været 3800 hits og over 1000 hits fra 1
> april.
> Stort set alle hits kommer fra 3 IP'adresser som jeg har fundet ud af er fra
> Letland.
>
> Er det nogen jeg skal være nervøs over ?
>
> Mvh. Allan
>
Jeg kan se du bruger Joomla. Det kan være her hunden ligge begravet.
Hvis joomla ikke er den side nye kan det måske være et forsøg på
at komme den vej ind.

--
Venlig Hilsen
Lars Raaby
http://lars.raaby.dk
- nå og hvad så!


Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409071
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste