Webserver absichern

Tempo · 10. Februar 2019

Ich habe hier einen Raspberry Pi als Webserver (Apache2) laufen um für meine Familie Bilder online zu stellen (Directory Listing). Ich habe soweit den Webserver nach besten Wissen und Gewissen eingerichtet. Geht man auf die Domain wird man erst einmal nach Benutzername und Passwort gefragt. Ich habe auch Fail2Ban installiert und eingerichtet. Habe im Router nur Port 80 und 443 freigegeben. http wird automatisch auf https (Let's Encrypt Zertifikat) umgeleitet. Der Port für SSH ist nicht geöffnet im Router. Auch habe ich den Raspberry Pi so eingerichtet, dass er mir eine E-Mail schickt, sobald sich jemand erfolgreich auf dem Raspberry Pi per SSH anmeldet.
Vor ein paar Tagen habe ich dann mal den Apache2 access.log näher angeschaut und folgende Zeilen gesehen:

Code:

54.39.182.83 - - [08/Feb/2019:07:40:02 +0100] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:02 +0100] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:02 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:03 +0100] "GET /pma/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:03 +0100] "GET /myadmin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:04 +0100] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:04 +0100] "GET /mysql/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:04 +0100] "GET /admin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:05 +0100] "GET /dbadmin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:05 +0100] "GET /PMA/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:05 +0100] "GET /sqladmin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:06 +0100] "GET /db/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:06 +0100] "GET /cpadmin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:07 +0100] "GET /sqladm/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:07 +0100] "GET /phpMyAdmin2/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:07 +0100] "GET /my/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:08 +0100] "GET /cpadmindb/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:08 +0100] "GET /cpanelphpmyadmin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:08 +0100] "GET /phpadmin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:09 +0100] "GET /_phpMyAdmin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:09 +0100] "GET /phpMyAdmin-2/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:10 +0100] "GET /phpMyAdmin-2.10.0.0/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:10 +0100] "GET /phpMyAdmin-2.10.0.1/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:10 +0100] "GET /phpMyAdmin-2.10.0.2/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:11 +0100] "GET /php-my-admin/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:11 +0100] "GET /websql/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:11 +0100] "GET /phpMyAdmin-2.9.0/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:12 +0100] "GET /phpMyAdmin-2.11.1-all-languages/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:12 +0100] "GET /phpMyAdmin-2.6.1-pl2/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:12 +0100] "GET /phpMyAdmin-2.6.1-pl3/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:13 +0100] "GET /phpMyAdmin-2.7.5/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:13 +0100] "GET /phpMyAdmin-2.8.9/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"
54.39.182.83 - - [08/Feb/2019:07:40:14 +0100] "GET /phpMyAdmin3/scripts/setup.php HTTP/1.1" 401 748 "-" "ZmEu"

Jemand versucht auf .php Dateien zuzugreifen. Wahrscheinlich irgendein böses Scan-Programm. Habe auf dem Server weder PHP noch phpMyAdmin oder sonstiges installiert. Die Anfrage verläuft also ins nix. Außerdem habe ich den Server so konfiguriert, dass wenn man auf die Adresse https://Domain.de/Unterordner geht automatisch eine Fehlerseite erscheint. Muss ich mir jetzt um die Sicherheit meines kleinen Servers Gedanken machen bzw. um die Sicherheit meines ganzen Heimnetzwerkes und was kann ich noch unternehmen um ihn sicherer zu machen?
Was bedeuten im Log eigentlich die Nummer 401 748 "-" "ZmEu"?

yxman · 10. Februar 2019

https://en.wikipedia.org/wiki/ZmEu_(vulnerability_scanner)

Yuuri · 10. Februar 2019

https://httpd.apache.org/docs/2.4/mod/mod_log_config.html#customlog
https://httpd.apache.org/docs/2.4/mod/mod_log_config.html#formats
https://www.keycdn.com/support/apache-access-log

401 ist der HTTP Statuscode
748 die Responselänge
- ist der Referrer
ZmEu ist der Useragent https://en.wikipedia.org/wiki/ZmEu_(vulnerability_scanner)

Da passiert nichts. Kannst es höchstens via fail2ban bzw. Blacklisting probieren, aber insofern das keine Ausmaße eines DDOS hat, würde ich es einfach ignorieren.

aLca · 10. Februar 2019

Das ist das typische Rauschen. Mit ner Up2Date Distro, und Fail2Ban biste schon gut dabei für den Pi.

Tempo · 10. Februar 2019

Raspbian habe ich so konfiguriert das jeden Abend die neusten Updates eingespielt werden. Der SSH-Zugang ist auch per Public-key-Authentifizierung abgesichert.

FranzvonAssisi · 10. Februar 2019

Jaah, ist schon gut, das du phpmyadmin nicht installiert hast...

Hatte beim Installieren einer App aufs NAS für sehr kurze Zeit ein offenes phpmyadmin (habe eine App installiert und die hat phpmyadmin gleich mitinstalliert...), und zack, innerhalb von wenigen Minuten (Sekunden, wohl eher), hat mein NAS auch schon als Coinminer gearbeitet xD

Da hab ichs gleich nochmal zurückgesetzt...

PS: Am besten einfach ab und zu ein Backup machen, dann ist es auch nicht so ein Problem, falls mal was passiert

PPS: Du kannst die ganzen Bot-Requests aber auch recht einfach per FIrewall blocken. Auf phpmyadmin sollte ja keiner deiner Besucher zugreifen (können).

https://blog.nintechnet.com/how-to-...s-dfind-and-other-web-vulnerability-scanners/

Lg

Zerstoerer · 10. Februar 2019

Du könntest z.b. noch den Webserver nur auf Nicht-Standardports betreiben, oder allgemein versuchen nur IPv6 zu akzeptieren und IPv4 zu verwerfen. Durch ersteres kann man den Großteil und durch letzteres kann man alle automatischen Scanscripte blockieren.
Bleibt nur die Frage, inwieweit das an einem privaten Anschluss machbar ist.

FranzvonAssisi · 11. Februar 2019

Naja, wenn Familienmitglieder darauf zugreifen sollen, klingt das für mich nach potenziellen DAUs, also ist das keine Option

Zerstoerer schrieb:
Internet

Sabber Ich will auch

Suche

Webserver absichern

Tempo

Cadet 4th Year

yxman

Lt. Commander

Yuuri

Fleet Admiral

aLca

Banned

Tempo

Cadet 4th Year

FranzvonAssisi

Admiral

Zerstoerer

Lieutenant

FranzvonAssisi

Admiral

Ähnliche Themen