Hallo Ihr Wissenden.
Vor ein paar Tagen bekam ich die Meldung von Strato, dass sie meinen (Windows) V-Server vom Netz genommen haben weil er wohl in der Weltgeschichte rumpingt bzw. irgendwelche unseriösen Anfragen rausschickt.
Ich habe jetzt erstmal den IIS abgeschaltet, was anscheinend schonmal Ruhe rein gebracht hat.
Jetzt würde ich gerne ein Backup einspielen, wollte aber vorher schauen, ob die Logs der Backups sauber sind.
Da fällt mir zum Beispiel auf, dass anscheinend "jemand" pausenlos versucht sich Zutritt zu verschaffen:
Generell zwei Fragen dazu:
GET ist doch die Anfrage von Außen und POST ist die Antwort von meinem Server, richtig?
Zweite Frage, kann man IP's solcher willkürlichen Versuche irgendwie nach dem zweiten oder dritten Versuch blocken?
Vielen Dank schonmal
Vor ein paar Tagen bekam ich die Meldung von Strato, dass sie meinen (Windows) V-Server vom Netz genommen haben weil er wohl in der Weltgeschichte rumpingt bzw. irgendwelche unseriösen Anfragen rausschickt.
Ich habe jetzt erstmal den IIS abgeschaltet, was anscheinend schonmal Ruhe rein gebracht hat.
Jetzt würde ich gerne ein Backup einspielen, wollte aber vorher schauen, ob die Logs der Backups sauber sind.
Da fällt mir zum Beispiel auf, dass anscheinend "jemand" pausenlos versucht sich Zutritt zu verschaffen:
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2022-10-12 00:00:04 xxx.xxx.xxx.xxx POST /editBlackAndWhiteList - 80 - 177.180.65.237 Mozila/5.0 - 404 0 64 238
2022-10-12 00:02:37 xxx.xxx.xxx.xxx GET /.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 148
2022-10-12 00:02:37 xxx.xxx.xxx.xxx GET /conf/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 155
2022-10-12 00:02:39 xxx.xxx.xxx.xxx GET /wp-content/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 157
2022-10-12 00:02:39 xxx.xxx.xxx.xxx GET /wp-admin/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 126
2022-10-12 00:02:41 xxx.xxx.xxx.xxx GET /library/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 147
2022-10-12 00:02:41 xxx.xxx.xxx.xxx GET /new/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 145
2022-10-12 00:02:43 xxx.xxx.xxx.xxx GET /vendor/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 126
2022-10-12 00:02:43 xxx.xxx.xxx.xxx GET /old/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 122
2022-10-12 00:02:44 xxx.xxx.xxx.xxx GET /local/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 158
2022-10-12 00:02:44 xxx.xxx.xxx.xxx GET /api/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 154
2022-10-12 00:02:46 xxx.xxx.xxx.xxx GET /blog/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 147
2022-10-12 00:02:46 xxx.xxx.xxx.xxx GET /crm/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 153
2022-10-12 00:02:48 xxx.xxx.xxx.xxx GET /admin/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 136
2022-10-12 00:02:48 xxx.xxx.xxx.xxx GET /laravel/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 131
2022-10-12 00:02:49 xxx.xxx.xxx.xxx GET /app/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 152
2022-10-12 00:02:49 xxx.xxx.xxx.xxx GET /app/config/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 133
2022-10-12 00:02:51 xxx.xxx.xxx.xxx GET /apps/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 146
2022-10-12 00:02:51 xxx.xxx.xxx.xxx GET /audio/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 118
2022-10-12 00:02:52 xxx.xxx.xxx.xxx GET /cgi-bin/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 149
2022-10-12 00:02:52 xxx.xxx.xxx.xxx GET /backend/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 134
2022-10-12 00:02:54 xxx.xxx.xxx.xxx GET /src/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 159
2022-10-12 00:02:54 xxx.xxx.xxx.xxx GET /base/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 144
2022-10-12 00:02:56 xxx.xxx.xxx.xxx GET /core/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 140
2022-10-12 00:02:56 xxx.xxx.xxx.xxx GET /vendor/laravel/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 139
2022-10-12 00:02:58 xxx.xxx.xxx.xxx GET /storage/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 143
2022-10-12 00:02:58 xxx.xxx.xxx.xxx GET /protected/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 159
2022-10-12 00:02:59 xxx.xxx.xxx.xxx GET /newsite/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 138
2022-10-12 00:02:59 xxx.xxx.xxx.xxx GET /www/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 115
2022-10-12 00:03:01 xxx.xxx.xxx.xxx GET /sites/all/libraries/mailchimp/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 146
2022-10-12 00:03:01 xxx.xxx.xxx.xxx GET /database/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 153
2022-10-12 00:03:02 xxx.xxx.xxx.xxx GET /public/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 120
2022-10-12 00:03:02 xxx.xxx.xxx.xxx GET /ip85-215-234-196.pbiaas.com/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 136
2022-10-12 00:03:04 xxx.xxx.xxx.xxx POST / - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 405 0 1 163
2022-10-12 00:03:04 xxx.xxx.xxx.xxx GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 149
Generell zwei Fragen dazu:
GET ist doch die Anfrage von Außen und POST ist die Antwort von meinem Server, richtig?
Zweite Frage, kann man IP's solcher willkürlichen Versuche irgendwie nach dem zweiten oder dritten Versuch blocken?
Vielen Dank schonmal