Hallo,
ich bin neu hier und hoffe ihr könnt mir helfen, ich habe einen Webserver aufgesetzt und hab festgestellt das sich die ersten Dfind-Scans in meinen Logfiles befinden.
Soweit ich in erfahrung gebracht habe ist da ja erstmal nur ein abchecken von sicherheitslücken und noch nix schlimmes. Nach genauerem betrachten eines der Logfiles war ich mir aber nicht mehr sicher weil es für mich so aussieht als wurde eine fremmde URL vom meinem server aufgerufen.
Jetzt wollte ich mal eure Meinungen zu dem Logfile hören in der hoffnung dass das noch nichts zu sagen hat. Wenn tatsächlich eine Url von meinem Server auf ausgerufen wurde müsste man doch davon ausgehen das es jemand geschafft hat in den Server einzudringen oder? Laut dem WhoIs von Heise fand der Angriff von einem Server Hoster aus Huerth in Deutschland statt die genaue IP hab ich jetzt mal durch XXX ersetzt. Sorgen macht mir eigentlich nur die letzte Zeile : http://testp5.mielno.lubin.pl/testproxy.php: 1 Time
Was noch zu sagen wäre ich habe jetzt per Fail2Ban nach folgender Anleitung versucht die Dfind-Scanner auszuschließen. Obwohl in diesem Logfile keine Dfind-Signatur zuerkennen war, anstelle dessen stand diesmal die IP Adresse drin. http://www.userdel.com/post/18618537324/block-w00tw00t-scans-with-fail2ban
Ich hab das Logfile jetzt mal als TXT angehängt sah in der Vorchau furchtbar unübersichtlich aus.
Ich hoffe ihr könnt mir weiterhelfen vielen Dank schonmal im vorraus!
Bearbeitet von rklm:
Titel aussagekräftiger gemacht, Absätze eingefügt. Bitte mal auf Forum/Syntax schauen!