Merkwürdige Request auf Webseite?

Seit Wochen beobachte ich merkwürdige Zugriffe auf unserer Webseite, die alle nach dem gleichen Schema ablaufen. Aufgerufen wird per GET eine URL mit einer 16-stelligen zufälligen Zeichenkette bestehend aus a-zA-Z0-9-_

Hier ein Beispiel:

/NbYAjXdqxs-mbfoS

Es wird immer nur von Root ausgegangen oder mit einer Sprache, die wir in der URL kodiert haben, wie bspw.

/en/d4qUgT1iiu0jAVud

Andere oder tiefere URLs werden nicht von diesen Bots aufgerufen.

Die IPs kommen aus aller Welt und da ist kein Schema zu erkennen. Vermutlich übernommene Recher aus einem Bot-Netz.

Die Aufrufe sind auch nicht sonderlich aggresiv und es gibt meist nur einen oder zwei Request pro Minute. Das ganze läuft dann meist ein paar Stunden und es wird dann die selbe Zeichenkette verwendet. Dass die Zugriffe alle mit 404 oder 403 beantwortet werden, stört den Bot offenbar nicht.

Meine Frage ist jetzt, ob jemand eine Idee hat, was da genau dahinter steckt? Ich kann da keinen Sinn dahinter erkennen aber vielleicht hat schon jemand was über diese Masche gehört.

2 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

julienvh

30.06.2024, 22:42

Merkwürdig. Vielleicht dienen die Codes als Erkennungsmerkmal für einen kompromittierten Server. Heißt durch eines dieser Codes wird entweder ein weiterer "Bot" im Netz erkannt oder eben ein C2. Durch das ständige Scannen aller möglichen Webseiten können dann so neue Teilnehmer im Botnet ausgemacht werden und ggf. an der Kommunikation teilnehmen. Die zufälligen Codes werden dann genutzt um das etwas zu obfuscaten.

Kann auch andere Gründe geben, bspw. können das auch ganz normale Pings sein und die zufälligen Buchstaben sind nur dazu da um die Response durch ein 404 möglichst klein zu halten, sodass man nicht die normale Seite anfragt.

Oder jemand hat einen kaputten URL Shortener und die Codes vom Shortener werden warum auch immer einfach in der URL mitgenommen.

Babelfish

Beitragsersteller

30.06.2024, 22:50

Also Pings und Shortener würde ich eher ausschließen. Deine erste Idee mit dem Scannen auf möglicherweise kompromittierte Server hatte ich auch. Dagegen spricht aber, dass da die Frequenz von 1 bis 3 Requests pro Minute und IP zu hoch ist und so keinen Sinn macht. Auch könnte sich ein übernommener Server ja selbst melden, was weniger Aufmerksamkeit erzeugt als vorher das ewige Scannen.

Es bleibt merkwürdig.

Sparrow75

30.06.2024, 14:53

Scheint so, als ob jemand deinen Server scannt und versucht, sich ggf zugriff zu verschaffen. Deswegen der scan nach verschiedenen resourcen auf dem Server.

Würde mal sowas wie ein IPS dazwischen schalten.

Babelfish

Beitragsersteller

30.06.2024, 14:58

Die Seite nach Schwachstellen zu scannen ist ja grundsätzlich nichts besonderes. Das kann ja jeder Scriptkiddie machen.

Aber die Art des Zugriffs spricht doch für eine andere Intention. Es wird ja immer eine 16-stellige zufällige Zeichenfolge abgefragt und dann auch stundenlang immer die selbe Zeichenfolge. Was soll damit erreichet werden?

PS: Mir geht es jetzt erst mal nicht um die Abwehr des ganzen. Ich will nur verstehen, was damit bezweckt wird.

Ähnliche Beiträge

Webserver - Zugriff auf Skript verhindern?

Hallo zusammen,

ein Freund und ich haben momentan eine kleines Projekt am Laufen. Wir möchten eine Webseite programmieren. Ein Sache nervt mich aber und ich weiß nicht wie ich das verhindern kann.

Wie kann man verhindern, dass man jegliche HTML sowie PHP Datei über die Suchleiste aufrufen kann. Ich möchte ja, dass bestimmte Skripte nur aufgerufen werden können, wenn es von Programmcode so definiert wird.

Sorry, wenn ich mich etwas undeutlich ausdrück, bin auch kein Profi. Bei weiteren Fragen, gerne Fragen.

Danke

...zum Beitrag

Was ist ein DDoS angriff?

Also wollt interessehalber mal nachfragen, hab nur gehört das viele Bots auf eine URL also Webseite zugreifen..?Wie genau funktioniert das? Mfg :)

...zum Beitrag

wie kann man beim starten von Windows eine bestimmte URL aufrufen?

Ich habe eine Webseite bzw. ein PHP-Script auf einem Webserver, das beim Aufrufen (mit Übergabe eines Passwortes) die URL des Routers speichert.

Jetzt muss die URL nur noch beim starten von Windows aufgerufen werden - aber die Seite soll nicht unbedingt in einem Webbrowser angezeigt werden.

Gibt es irgend ein Programm oder eine Möglichkeit, wie man beim starten von Windows oder in einem Intervall von 2 Stunden eine URL aufrufen kann?

...zum Beitrag

Kann mir jemand sagen wie ich eine URL per Cronjob jede Minute aufrufen lassen kann?

Ich möchte eine URL zum Update meiner IP-Adresse für einen Dyndns-Anbieter 1x pro Minute aufrufen

Verwendetes Betriebssystem ist Raspbian Jessie

Der Zugriff erfolgt per SSH

Angemeldeter User: root

Crontab angelegt/aufgerufen mit: sudo nano /etc/crontab

Folgenden Crontab habe ich probiert, die URL wird aber nicht aufgerufen:

/1 * * * * /usr/bin/wget -q "http://www.dyndns-anbieter.de/?user=meinusername&pass=meinpasswort&updater=manuell"*

Kann mir jemand sagen was ich falsch gemacht habe, bzw wie der richtige Befehl aussehen muss?

Für einen Tipp wäre ich sehr dankbar.

Vielen Dank und viele Grüße

olaula

...zum Beitrag

Wie bekomme ich wieder Zugriff auf meine WordPress Seite?

Hey liebe Community!

Ich habe ein ganz großes Problem und weiß nicht wie ich es beheben kann. Ich habe auf einem Root-Server eine WordPress Seite gehostet. Daher ich nicht auf die Antwort eines Supporters warten wollte (wie ich meine Domain auf die Webseite aufschalte) habe ich mal selbst herumprobiert. So fand ich dann im WordPress Menü die Kategorie "URL" (da stand meine IP drin) Ich löschte also die IP raus und fügte meine Domain ein. Jetzt habe ich das Problem, dass ich keinen Zugriff mehr auf meine Webseite habe . Egal ob ich die Domain eingebe, oder die IP.... es steht: Die Webseite ist nicht erreichbar.

P.S. Selbst wenn ich domain/wp-admin oder ip/wp-admin mache, bekomme ich keinen Zugriff.

Weiß jemand wie man das Problem beheben kann?

...zum Beitrag

AJAX: Webseite URL angeben?

Hallo,

ich möchte per AJAX eine Datei, die auf einem Webserver liegt, überprüfen. Wie kann ich die URL richtig angeben?

var xhttp = new XMLHttpRequest();
xhttp.onreadystatechange = function() {
  if (this.readyState == 4 && this.status == 200) {
    document.getElementById("test").innerHTML = this.responseText;
  }
};
xhttp.open("GET", "http://test.test/test.php", true);
xhttp.send();

Wenn ich das so angebe, wie im Beispiel als test.test/test.php, funktioniert bei mir nichts.

Wenn ich jedoch die test.php auf dem gleichen Server wie den Request habe, die Datei dann als test.php angebe, funktioniert alles.

Wie kann ich eine Url angeben, sodass es funktioniert?

Edit: Fehlermeldung:

[Error] Origin http://localhost is not allowed by Access-Control-Allow-Origin.
[Error] XMLHttpRequest cannot load https://test.test.test/test.php due to access control checks.
[Error] Failed to load resource: Origin http://localhost is not allowed by Access-Control-Allow-Origin. (test.php, line 0)

...zum Beitrag

Family link und Website = Suchmaschine duck duck go?

Hallo zusammen!! Ich habe heute das Tablet von mein Sohn 11 Jahre in der Hand gehabt was eigentlich durch family link abgesicherten ist und er nur auf alters gerechte Seiten zugreifen kann. Auf Grund der Einstellung und sein alter hatte er auch kein Zugriff mehr auf YouTube!! Bei der Durchsicht des Tablet habe ich im Browser verlauf festgestellt das er die Webseite duck duck go mehrfach aufgerufen hat, was sich als Suchmaschine herzustellte. Über diese Suchmaschine die er komischerweise über sein eingeschränkte Modus aufgerufen kann. Hat er dann vollen UNeingeschränkten Zugriff auf YouTube!! Wahrscheinlich dann auch noch auf weiteren Webseiten oder sogar alle. So etwas sehe ich natürlich auf mein bzw Eltern gerät nicht. Mir wird zwar angezeigt das er google verwendet hat aber nicht welche Webseiten. Hat mich auch nie interessiert weil ich ja wusste dass er nur altersgerechte Seiten aufgerufen kann. Habt ihr ein Tipp wie ich ihn den Zugriff auf dieser Website sperren kann? Er weiß nicht das ich das hier weiß.. Ist wohl auch besser sonst würde er seinen Verlauf wahrscheinlich lösen.

Bin froh über jeden Tipp oder Hilfe

...zum Beitrag

Mehrsprachige Webseite(n) in PHP steuern?

Ich besitze Webseiten in verschiedenen Sprachen. Von Code her sind alle gleich (kopiert), sind halt nur übersetzt. Um die Pflege des Codes einfacher zu gestalten möchte ich nun nur noch einen Code (root) benutzen und einfach mit Sprachdateien arbeiten. Bisher habe ich es so gehandhabt, dass ich per htaccess redirect PHP Datein ausgeführt habe.

RewriteRule ^apfel/([^/]*) /page.php [L]

In den kopierten Webseiten in anderen Sprachen habe ich dann einfach die Zeile geändert.

RewriteRule ^apple/([^/]*) /page.php [L]

Um den Code der Webseite einfacher zu pflegen plane ich nun nur noch eine Webseite (ein root) mit Sprachdateien. Jetzt stellt es mir die Frage, wie gehe ich mit den Redirects um?

Ich möchte ungern in eine htaccess datei sämtliche redirects in verschiedenen Sprachen schreiben. Meine plan wäre es jetzt den ganzen traffic auf eine einzige PHP Datei zu schicken und dort überprüfe ich welche domain aufgerufen wurde, lade anhand der die Sprachdatei ($lang["url"]) und überprüfe dann welchen Inhalt bsw. Sprache angezeigt werden soll.

Wie zum Beispiel bei domain.de

if($url == $lang["url"][1]) { 
// domain.de/apfel/
} else if ($url == $lang["url"][2]) { 
// domain.de/birne/
}

Oder bei domain.com

if($url == $lang["url"][1]) { 
// domain.com/apple/
} else if ($url == $lang["url"][2]) { 
// domain.com/pear/
}

Wenn ich nun den ganzen Traffic auf eine PHP Datei schicke ist das dann von der Perfomance nicht so gut da dies eine recht lange Datei werden kann? Falls es noch andere Lösungen geben sollte, höre ich diese gerne. Hoffe man versteht, welches "Problem" ich habe.

...zum Beitrag

Unterschied Fußnoten und Literaturverzeichnis in einer Facharbeit?

Wir müssen im Literaturverzeichnis die Quellen nach folgendem Schema angeben:

Autor Nachname, Vorname: Titel des Buches, Sitz des Verlages: Verlagsname Erscheinungsjahr

Und bei Internetquellen:

Autor Nachname, Vorname: Titel, URL, letzter Zugriff Datum, Uhrzeit

Und dann natürlich alphabetisch sortieren.

Ich habe das jetzt genauso in den Fußnoten gemacht, aber die nehmen ziemlich viel Platz ein.. kann man die irgendwie abkürzen?

...zum Beitrag

Ich bekomme immer diese Fehlermeldung: Not Found The requested URL / was not found on this server.

Guten Tag

Ich habe eine Webseite bei welcher seit einiger Zeit diese Meldung aufgerufen wird:

*Not Found

The requested URL / was not found on this server. hierzu den Link: http://jungschar-murten.ch/

Normal kann es ja sein, dass irgendwas im Code falsch gelaufen ist. Jedoch besteht die Seite seit Jahren und keiner hat in letzter Zeit irgend ein Code (HTML / CSS PHP JS etc.) angerührt, da alles über das CMS JOOMLA! läuft.

Mir kam zu Ohren das auf Seiten wie dieser hier in letzter Zeit gezielte Hackerangriffe stattfanden. Nun die Frage was ich machen kann. An was kann dies liegen und fals sie gehackt wurde wie kann ich diese wieder aufschalten.

...zum Beitrag

Webseiten Scraper in Python?

Ich würde gerne einen WebScraper programmieren, jedoch bekomme ich es nicht hin. Ich würde gerne von einer Webseite die Frequenz von unserem Stromnetz auslesen, bekomme aber als Ausgabe nur "None". Hier ist mein Python-Code:

from bs4 import BeautifulSoup

import requests, time

url = f'https://www.apg.at/de/markt/Markttransparenz/Netzregelung/Netzfrequenz'

page = requests.get(url)

soup = BeautifulSoup(page.content, 'html.parser')

table = soup.find('h3', attrs={'class':'mb-0 text-danger ng-tns-c64-1'})

print(table)

Ich habe vor 2 Stunden mit Python angefangen, habe aber bereits gute Kenntnisse in C++ und Java etc. Hat jemand eine Idee, wie ich das Problem lösen kann oder hat jemand bereits was ähnliches programmiert?

LG

...zum Beitrag

Kann man einen fertig gedruckten QR-Code mit einem Link zuweisen?

Leute ich hab ein rießen Problem! Und brauch bitte dringens Hilfe!!

Ich hab Visitenkarten drucken lassen, und zwar viele. Sie kamen heute an und sahen auch optisch wunderbar aus. Doch eine Sache fiel aus dem Schema: Der QR-Code auf den Visitenkarten öffnet nicht die gewünschte Website - er funktioniert garnicht!

Nun möchte ich die IT-Experten unter euch fragen, ob es denn möglich wäre, trotz fertig gedrucktem QR-Code, ihm eine Webseite, bzw. URL zuzuweisen?

Es ist ja so, dass man eine URL in einen QR-Code umwandeln kann.
Ist es denn auch andersherum möglich? Also einem QR-Code die URL geben?

Ich hoffe, dass es da eine Möglichkeit gibt, sonst hätte ich gerade sehr viel Geld auf Visitenkarten mit nicht funktionsfähigem QR-Code verloren.

Ich danke schonmal im voraus!

...zum Beitrag

Darf eine Webseite einen Besucher der einen VPN nutzt ausschließen?

Wer einen VPN nutzt kann auf viele Webseiten mittlerweile nicht mehr zugreifen. Es läd oft nur eine weiße Seite oder eine Fehlermeldung, siehe mediomops oder etsy als Beispiel.

Ein Webseitenbesucher der aus Gründen wie etwa dem Schutz der Privatsphäre oder der Verschlüsselung des Datenverkehrs einen VPN nutzt, kann immer weniger Webseiten besuchen. Der Besucher ist angehalten, online alles von sich preiszugeben.

Für die Webseiten gäbe es hingegen Möglichkeiten, sicherzustellen, dass es sich um einen legitimen Zugriff und keinen Bot handelt. Etwa indem man den jeweiligen Besucher ein Captcha lösen lässt um somit sicherzustellen.

Webseitenbesucher die über einen VPN verbunden sind kategorisch auszuschließen, erscheint rechtlich daher fragwürdig. Gibt es hierzu eine Rechtssprechung?

...zum Beitrag

Selenium WebDriver wird von Instagram erkannt?

Ich benutze Selenium um einen headless Chrome browser zu starten und dann auf eine Instagram video seite zu gehen um die url des quellvideos zu scrapen.

Das geht auch ohne Probleme. Aber sobald es zur url des kontos navigiert, wird Selenium sofort von Instagram erkannt und meine ip-adresse wird direkt blockiert.

Manipulation des user agents, Löschung der js signatur, deaktivierung experimenteller Optionen usw. helfen nicht. Außerdem bewegt sich der Scraper auf der Webseite langsam mit zufälligen delays, womit es eigentlich keine Anzeichen für einen Bot gibt.

Woran könnte es liegen?
Ist ein Proxy wirklich das einzige was hier noch hilft

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen