Forum Partner+Friends LinkUs Downloads KNW Suche TS³ Viewer Twitter Facebook

Stand Alone HB3 Logs

Jetzt kostenlos Anmelden!
  • 1
  • 2


roxxi Weiblich

lernt alles kennen

Beiträge: 51

Geschlecht: Weiblich

PHPKIT Version: 1.6.1

1

Samstag, 3. Mai 2008, 23:57

HB3 Logs

Hi,
ich habe eine Frage zu der neuen Log-Funktion des HackBlocks v3. Habe mir nun die Logs der letzten 3 Tage angeschaut - da sind (bei Standard-Einstellungen) jede Menge Angriffe aufgelistet, Nur weiß ich nicht so genau was sich hinter den einzelnen Angriffen so verbirgt, was ist ein einfacher Bot der irgendwas ins Gästebuch oder sonst wo eintragen will und was sind wirklich sicherheitsrelevante Angriffe?

Vielleicht kann mir jemand einen groben Überblick geben was sich hinter den einzelenen Meldungen typischerweise verbergen könnte? Also was genau habe ich mir unter einem
URL -
UA -
POST -
SPAM - Angriff
vorzustellen?

Danke für Eure Antwort!
  • Zum Seitenanfang
  • Zum Seitenende

Dirk Kántor Männlich

aká Dooki

Beiträge: 2 073

Geschlecht: Männlich

PHPKIT Version: keine

2

Sonntag, 4. Mai 2008, 00:55

URL = scheint wohl die zu sein welche aufgerufen wurde?!
UA = UserAgent (Browser Type)
POST = was wurde übergeben, oder ob was per POST übergeben wurde?!
Spam = selbsterklärend?
Angriff steht wohl dann drin wenns nen angriff war?!

sry kein plan.. hab ihn selber nicht drauf lol ^^
:thumbsup:    :thumbsup:       *tc*       :thumbsup:    :thumbsup:
8o           Achtung: Dirk Kántor ist unterwegs!           8o
Er verteilt gerne Verwarnungen ohne vorher darüber diskutiert zu haben.
  • Zum Seitenanfang
  • Zum Seitenende

jerryGFL Männlich

postet ab und an hier

Beiträge: 243

Geschlecht: Männlich

PHPKIT Version: 1.6.1

3

Sonntag, 4. Mai 2008, 01:00

also dooki es ist leider so dass die URL die benutzt wurde nicht ausgegeben wird (@ headless vllt kannste das ja noch mit einbauen) es wird lediglich angezeigt dass der angriff über die URL adresszeile stattfand.

Spam-Angriff ist glaube ich eine sahce und net zwei verscheidenene.

Ansonsten kann ich Dooki nur zustimmen

mfg
  • Zum Seitenanfang
  • Zum Seitenende

Dirk Kántor Männlich

aká Dooki

Beiträge: 2 073

Geschlecht: Männlich

PHPKIT Version: keine

4

Sonntag, 4. Mai 2008, 01:32

ah ok hab den ja doch drauf im addon room ^^

also: Beispiel

Zitat

|---------- 01.05.2008 - 02:01:29 ----------|
IP: 211.225.114.1
UA: libwww-perl/5.79
TYP: URL - Angriff
|-------------------------------------------|

|---------- 01.05.2008 - 12:31:51 ----------|
IP: 66.166.162.154
UA: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
TYP: SPAM - Angriff
|-------------------------------------------|

IP und UA sind ja erklärt... bzw selbsterklärend..

beim Typ kommen dann wohl sachen wie:
POST - Angriff
URL - Angriff
Spam - Angriff


soll heissen:
POST - Angriff = Angriff über eine POST Übergabe
URL - Angriff = Angriff über die Adresszeile
Spam - Angriff = Spam Eintragungen in GB, Forum und wo auch immer


Mehr.. muss auch nicht erkennbar sein!
Denn:
1. wenn ihr (ich unterstelle das erstmal jedem ^^) wisst welche Adresszeile jener Angreifer ge-/missbraucht kann dies von denen die den HB drauf haben woanders ausgenutzt werden.. (gleiches auch bei POST)
2. sind die infos für euch ausreichend damit ihr überhaupt wisst wie angegriffen wurde..
3. wird niemals eine ausführliche log kommen.. gründe stehen oben
:thumbsup:    :thumbsup:       *tc*       :thumbsup:    :thumbsup:
8o           Achtung: Dirk Kántor ist unterwegs!           8o
Er verteilt gerne Verwarnungen ohne vorher darüber diskutiert zu haben.
  • Zum Seitenanfang
  • Zum Seitenende

jerryGFL Männlich

postet ab und an hier

Beiträge: 243

Geschlecht: Männlich

PHPKIT Version: 1.6.1

5

Sonntag, 4. Mai 2008, 01:39

ok verstehe die begründung völlig macht ja auch sinn.
  • Zum Seitenanfang
  • Zum Seitenende

roxxi Weiblich

lernt alles kennen

Beiträge: 51

Geschlecht: Weiblich

PHPKIT Version: 1.6.1

6

Sonntag, 4. Mai 2008, 10:27

Danke für die ausführlichen Antworten, schon wieder was dazu gelernt! ^^
  • Zum Seitenanfang
  • Zum Seitenende

Max1511 Männlich

ist gerade angekommen

Beiträge: 30

Geschlecht: Männlich

PHPKIT Version: 1.6.1

7

Donnerstag, 26. Juni 2008, 10:05

Hi Zusammen

Ich hab da zu den Logs auch eine Frage. Die Logs werden ja im Verzeichnis ../HackBlock/log gespeichert. Nun hab ich bemerkt, dass die Logs mit falschen Besitzer- / Gruppenrechte abgespeichert werden und so kann ich die Logs mittels ftp nicht mehr herunterladen. Hat das mit meinem Webhost-Anbieter zu tun oder liegt ein Problem bei einem Script vor?

Grüsse
Max
  • Zum Seitenanfang
  • Zum Seitenende

Dirk Kántor Männlich

aká Dooki

Beiträge: 2 073

Geschlecht: Männlich

PHPKIT Version: keine

8

Donnerstag, 26. Juni 2008, 10:44

Dateien die durch ein Script angelegt werden, haben oftmals einen besitzer wie: wwwrun
oder so
:thumbsup:    :thumbsup:       *tc*       :thumbsup:    :thumbsup:
8o           Achtung: Dirk Kántor ist unterwegs!           8o
Er verteilt gerne Verwarnungen ohne vorher darüber diskutiert zu haben.
  • Zum Seitenanfang
  • Zum Seitenende

Max1511 Männlich

ist gerade angekommen

Beiträge: 30

Geschlecht: Männlich

PHPKIT Version: 1.6.1

9

Donnerstag, 26. Juni 2008, 11:47

Hallo Dooki. Bei mir steht jetzt eben "apache apache". Und die kann ich nicht runterladen, weil ich nicht berechtigt bin.
  • Zum Seitenanfang
  • Zum Seitenende

Headless Männlich

... nur noch zur deko

Beiträge: 2 374

Geschlecht: Männlich

Wohnort: Nürnberg

PHPKIT Version: keine

10

Donnerstag, 26. Juni 2008, 12:30

Da würde ich mal mit deinem Hoster reden. Eigentlich ist es schon richtig, denn die Dateien werden mit dem Apache oder wwrun User angelegt.

Du kannst sie doch über den Viewer anschauen und über diesen die Logs auch direkt Downloaden!
So einfach wie möglich - aber nicht einfacher!
Albert Einstein (1879-1955)
  • Zum Seitenanfang
  • Zum Seitenende
  • 1
  • 2

Ähnliche Themen

Tagging