Wenn ich von Zeit zu Zeit einen Blick in meinen Logfile werfe, um mir anzusehen, was von meinen Besuchern mehr, was weniger gelesen wird, fallen mir immer wieder Besucher auf, die Seltsames im Schilde zu führen scheinen. Oder sagen wir: Die Dinge tun, die ich nicht verstehe. Anders als die meisten Leser werden für diese erst einmal überhaupt keine Details ausgewiesen, weder der vollständige User-Agent (lediglich Mozilla/4.0 wird meistens angezeigt), noch die Sprache, noch sonst etwas. Das an sich wäre ja noch kein Problem, eigentlich ist es mir herzlich egal, mit welchen Mitteln meine Leser zu mir kommen. Leider aber erfahre ich ja die besuchten Seiten — und die sind mehr als skurril.
Heute beispielsweise hatte ich Besuch von jemandem, der bei mir versucht hat, die folgenden Seiten aufzurufen:
06.07.2009 16:44:46 /ftp.rar
06.07.2009 16:44:47 /ftp.rar
06.07.2009 16:44:48 /ujmvftp.zip
06.07.2009 16:44:49 /ftp.zip
06.07.2009 16:44:50 /ftp.zip
06.07.2009 16:44:51 /pckbflashfxp.zip
06.07.2009 16:44:52 /flashfxp.zip
06.07.2009 16:44:54 /flashfxp.zip
06.07.2009 16:44:55 /cakvflashfxp.rar
06.07.2009 16:44:56 /flashfxp.rar
06.07.2009 16:44:57 /flashfxp.rar
06.07.2009 16:44:58 /pssqftp.txt
06.07.2009 16:44:59 /ftp.txt
06.07.2009 16:45:00 /ftp.txt
Nun gibt es all diese Dateien auf meinen Server überhaupt nicht, ich weiß noch nicht einmal, wofür sie gut wären, wenn es sie gäbe. Gut, irgendwas mit Flash und FTP haben sie zu tun, was aber könnte jemand damit erreichen, wenn er sie bei mir aufruft. Ein Hackerangriff? Dieser Fall ist bei weitem nicht der einzige. Dateien wie «vitgupfile_flash.asp», «sinyflashfxp.zip», «eywzftp.zip» oder «tuemupfile_flash.asp» wurden ebenfalls schon versucht, aufzurufen, andere Beispiele sind «webeditor/ewebeditor.asp» oder «/admin/webeditor/ewebeditor.asp», «quamweb.config» oder «web.config».
Nun kann ich mir beim besten Willen nicht vorstellen, warum jemand meine Seite hacken wollen sollte. Einen echten Nutzen zumindest kann ich dahinter nicht erkennen. Aber unangenehm wäre es mir schon. Vielleicht also gibt es da draußen einen klugen Menschen, der mir mehr über diese Seitenaufrufe verraten kann. Und, sollte das ein ernstzunehmendes Problem darstellen, auch etwas darüber, was ich tun kann, um mich zu schützen?
das sind Bots, die mehr oder weniger wie Spider durchs Netz alles an Seiten abgrasen was sie finden, um zu gucken, ob die ensprechenden Files vorhanden sind. Wären die einen oder anderen Files vorhanden, gäbe das indirekt Informationen über die zugrundeliegende Serverinfrastruktur, was wiederum das Ausnutzen von entsprechend vorhanden sein müssenden Sicherheitslöchern ermöglicht…
Hah, Sicherheitslöcher. Bei mir! Schon lustig, was sich Menschen alles ausdenken. ;-)
Aber irgendwie nervt es mich schon, dass man die nicht aussperren kann. Nicht mal nen eigenen, skurrilen User-Agent nutzen die …