Piraten in der Wüste » rfi http://blog.wuestenpirat.de Ein Blog über das Leben und andere Spielereien Fri, 23 Jul 2010 11:28:07 +0000 en hourly 1 http://wordpress.org/?v=3.0 Glastopf: Top 20 Attacker – Mai http://blog.wuestenpirat.de/glastopf-top-20-attacker-mai.html http://blog.wuestenpirat.de/glastopf-top-20-attacker-mai.html#comments Mon, 18 May 2009 20:29:11 +0000 duke http://botnetz.com/?p=235 Weiterlesen ]]> Hallo,

ich wollte heute nochmal einen kleinen Statistiküberblick über den Glastopf geben.

Hier gezeigt, sind die Top 20 Attacker. Man sieht schön, wie versucht wird über einfache Sicherheitslücken das System zu kompromittieren.
Auch erstaunlich ist, dass ein Attacker es über 60 mal versucht hat.

IP Req Count
121.173.130.xxx /index.php?mosConfig_absolute_path=XXX?? 60
74.81.88.xxx /index.php?pagina=XXX?? 35
217.18.76.xxx /index.php?mosConfig_absolute_path=XXX?? 31
75.127.70.xxx /index.php?_SESSION%5bdocroot_path%5d=XXX?? 30
72.52.230.xxx /index.php?DOCUMENT_ROOT=XXX???? 29
24.39.162.xxx /index.php?DOCUMENT_ROOT=XXX???? 27
194.181.2.xxx /index.php?noSet=0&%3bincludedir=XXX????? 26
116.50.163.xxx /index.php?appserv_root=XXX? 23
87.107.86.xxx /index.php?DOCUMENT_ROOT=XXX???? 22
70.86.169.xxx /index.php?appserv_root=XXX???? 22
85.214.24.xxx /index.php?error=XXX??? 22
202.75.4.xxx /index.php?error=XXX?? 22
121.165.73.xxx /index.php?nuseo_dir=XXX??? 21
190.144.44.xxx /index.php?noSet=0&includedir=XXX??? 20
80.231.93.xxx /index.php?path_to_bt_dir=XXX???? 19
145.253.245.xxx /index.php?error=XXX?? 19
67.220.201.xxx /index.php?config%5bppa_root_path%5d=XXX??? 19
207.58.185.xxx /index.php?alpath=XXX??? 17
212.59.11.xxx /index.php?rootdir=XXX?? 16
77.221.130.xxx /index.php?autoLoadConfig%5b999%5d%5b0%5d%5bautoType%5d=include&autoLoadConfig%5b999%5d%5b0%5d%5bloadFile%5d=XXX??? 16

Wirft man einen Blick auf die Victims, sieht man, dass dort diverse Freehoster genutzt werden, aber auch einige kompromittierte Server wie eine Pornoseite “sexclusiv.eu” oder eine polnische BMW Fanseite “bmw-center.com.pl“. Aber auch deutsche Server sind unter den Victims. So findet man hier eine private Webseite die nicht mehr gepflegt wird “dirk-gerber.de” oder ein Ärzte Netzwerk “aene.de“. Ich find es erschreckend, dass sich niemand um seine Server kümmert und auch mal einen Blick durch den Webspace fliegen lässt. Theoretisch sollten einen doch unbekannte Dateien auffallen?

Post to Twitter

© duke for Piraten in der Wüste, 2009. | Permalink | One comment | Add to del.icio.us
Post tags: , , ,

Feed enhanced by Better Feed from Ozh

]]> http://blog.wuestenpirat.de/glastopf-top-20-attacker-mai.html/feed 1 Glastopf: Statistiken http://blog.wuestenpirat.de/glastopf-statistiken.html http://blog.wuestenpirat.de/glastopf-statistiken.html#comments Thu, 07 May 2009 13:20:55 +0000 duke http://botnetz.com/?p=223 Weiterlesen ]]> Seit einiger Zeit habe ich einen Glastopf Honeypot am laufen. Bislang hat dieser über 1400 Daten gesammelt. Ich wollte hier jetzt nur einen kurzen Überblick geben, was am meisten in ungesicherte Webapps inkludiert wird. Gescannt wurden die Files mit ClamAV.

Glastopf Stats - 07.05.09

(Für eine größere Darstellung draufklicken)

Wie man dort schön sehen kann, werden meistens PHP Bots in Form von pBots oder ähnlichen Bots inkludiert. Auch PHP Shells sind sehr beliebt.
Insgesamt wurden 1400 Dateien gescannt, wovon 907 davon von ClamAV als Bedrohung angesehen wurden. Ich gehe aber von aus, dass der Großteil der restlichen Dateien ebenfalls Bots, Shells  o.Ä. Sachen sind.

Wenn jemand Interesse an den gesammelten Bots, Shells usw. hat, mag er mich bitte kontaktieren. (Bitte Grund dazu schreiben, WIESO du unbedingt die Daten möchtest. ;) )

Post to Twitter

© duke for Piraten in der Wüste, 2009. | Permalink | 5 comments | Add to del.icio.us
Post tags: , , , , , ,

Feed enhanced by Better Feed from Ozh

]]> http://blog.wuestenpirat.de/glastopf-statistiken.html/feed 5