Merkwürdige Request auf Webseite?

Seit Wochen beobachte ich merkwürdige Zugriffe auf unserer Webseite, die alle nach dem gleichen Schema ablaufen. Aufgerufen wird per GET eine URL mit einer 16-stelligen zufälligen Zeichenkette bestehend aus a-zA-Z0-9-_

Hier ein Beispiel:

/NbYAjXdqxs-mbfoS

Es wird immer nur von Root ausgegangen oder mit einer Sprache, die wir in der URL kodiert haben, wie bspw.

/en/d4qUgT1iiu0jAVud

Andere oder tiefere URLs werden nicht von diesen Bots aufgerufen.

Die IPs kommen aus aller Welt und da ist kein Schema zu erkennen. Vermutlich übernommene Recher aus einem Bot-Netz.

Die Aufrufe sind auch nicht sonderlich aggresiv und es gibt meist nur einen oder zwei Request pro Minute. Das ganze läuft dann meist ein paar Stunden und es wird dann die selbe Zeichenkette verwendet. Dass die Zugriffe alle mit 404 oder 403 beantwortet werden, stört den Bot offenbar nicht.

Meine Frage ist jetzt, ob jemand eine Idee hat, was da genau dahinter steckt? Ich kann da keinen Sinn dahinter erkennen aber vielleicht hat schon jemand was über diese Masche gehört.

2 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

julienvh

30.06.2024, 22:42

Merkwürdig. Vielleicht dienen die Codes als Erkennungsmerkmal für einen kompromittierten Server. Heißt durch eines dieser Codes wird entweder ein weiterer "Bot" im Netz erkannt oder eben ein C2. Durch das ständige Scannen aller möglichen Webseiten können dann so neue Teilnehmer im Botnet ausgemacht werden und ggf. an der Kommunikation teilnehmen. Die zufälligen Codes werden dann genutzt um das etwas zu obfuscaten.

Kann auch andere Gründe geben, bspw. können das auch ganz normale Pings sein und die zufälligen Buchstaben sind nur dazu da um die Response durch ein 404 möglichst klein zu halten, sodass man nicht die normale Seite anfragt.

Oder jemand hat einen kaputten URL Shortener und die Codes vom Shortener werden warum auch immer einfach in der URL mitgenommen.

Babelfish

Beitragsersteller

30.06.2024, 22:50

Also Pings und Shortener würde ich eher ausschließen. Deine erste Idee mit dem Scannen auf möglicherweise kompromittierte Server hatte ich auch. Dagegen spricht aber, dass da die Frequenz von 1 bis 3 Requests pro Minute und IP zu hoch ist und so keinen Sinn macht. Auch könnte sich ein übernommener Server ja selbst melden, was weniger Aufmerksamkeit erzeugt als vorher das ewige Scannen.

Es bleibt merkwürdig.

Sparrow75

30.06.2024, 14:53

Scheint so, als ob jemand deinen Server scannt und versucht, sich ggf zugriff zu verschaffen. Deswegen der scan nach verschiedenen resourcen auf dem Server.

Würde mal sowas wie ein IPS dazwischen schalten.

Babelfish

Beitragsersteller

30.06.2024, 14:58

Die Seite nach Schwachstellen zu scannen ist ja grundsätzlich nichts besonderes. Das kann ja jeder Scriptkiddie machen.

Aber die Art des Zugriffs spricht doch für eine andere Intention. Es wird ja immer eine 16-stellige zufällige Zeichenfolge abgefragt und dann auch stundenlang immer die selbe Zeichenfolge. Was soll damit erreichet werden?

PS: Mir geht es jetzt erst mal nicht um die Abwehr des ganzen. Ich will nur verstehen, was damit bezweckt wird.

Ähnliche Beiträge

Ich bekomme immer diese Fehlermeldung: Not Found The requested URL / was not found on this server.

Guten Tag

Ich habe eine Webseite bei welcher seit einiger Zeit diese Meldung aufgerufen wird:

*Not Found

The requested URL / was not found on this server. hierzu den Link: http://jungschar-murten.ch/

Normal kann es ja sein, dass irgendwas im Code falsch gelaufen ist. Jedoch besteht die Seite seit Jahren und keiner hat in letzter Zeit irgend ein Code (HTML / CSS PHP JS etc.) angerührt, da alles über das CMS JOOMLA! läuft.

Mir kam zu Ohren das auf Seiten wie dieser hier in letzter Zeit gezielte Hackerangriffe stattfanden. Nun die Frage was ich machen kann. An was kann dies liegen und fals sie gehackt wurde wie kann ich diese wieder aufschalten.

...zum Beitrag

Webserver - Zugriff auf Skript verhindern?

Hallo zusammen,

ein Freund und ich haben momentan eine kleines Projekt am Laufen. Wir möchten eine Webseite programmieren. Ein Sache nervt mich aber und ich weiß nicht wie ich das verhindern kann.

Wie kann man verhindern, dass man jegliche HTML sowie PHP Datei über die Suchleiste aufrufen kann. Ich möchte ja, dass bestimmte Skripte nur aufgerufen werden können, wenn es von Programmcode so definiert wird.

Sorry, wenn ich mich etwas undeutlich ausdrück, bin auch kein Profi. Bei weiteren Fragen, gerne Fragen.

Danke

...zum Beitrag

Was ist ein DDoS angriff?

Also wollt interessehalber mal nachfragen, hab nur gehört das viele Bots auf eine URL also Webseite zugreifen..?Wie genau funktioniert das? Mfg :)

...zum Beitrag

Wie bekomme ich wieder Zugriff auf meine WordPress Seite?

Hey liebe Community!

Ich habe ein ganz großes Problem und weiß nicht wie ich es beheben kann. Ich habe auf einem Root-Server eine WordPress Seite gehostet. Daher ich nicht auf die Antwort eines Supporters warten wollte (wie ich meine Domain auf die Webseite aufschalte) habe ich mal selbst herumprobiert. So fand ich dann im WordPress Menü die Kategorie "URL" (da stand meine IP drin) Ich löschte also die IP raus und fügte meine Domain ein. Jetzt habe ich das Problem, dass ich keinen Zugriff mehr auf meine Webseite habe . Egal ob ich die Domain eingebe, oder die IP.... es steht: Die Webseite ist nicht erreichbar.

P.S. Selbst wenn ich domain/wp-admin oder ip/wp-admin mache, bekomme ich keinen Zugriff.

Weiß jemand wie man das Problem beheben kann?

...zum Beitrag

wie kann man beim starten von Windows eine bestimmte URL aufrufen?

Ich habe eine Webseite bzw. ein PHP-Script auf einem Webserver, das beim Aufrufen (mit Übergabe eines Passwortes) die URL des Routers speichert.

Jetzt muss die URL nur noch beim starten von Windows aufgerufen werden - aber die Seite soll nicht unbedingt in einem Webbrowser angezeigt werden.

Gibt es irgend ein Programm oder eine Möglichkeit, wie man beim starten von Windows oder in einem Intervall von 2 Stunden eine URL aufrufen kann?

...zum Beitrag

Kann man einen fertig gedruckten QR-Code mit einem Link zuweisen?

Leute ich hab ein rießen Problem! Und brauch bitte dringens Hilfe!!

Ich hab Visitenkarten drucken lassen, und zwar viele. Sie kamen heute an und sahen auch optisch wunderbar aus. Doch eine Sache fiel aus dem Schema: Der QR-Code auf den Visitenkarten öffnet nicht die gewünschte Website - er funktioniert garnicht!

Nun möchte ich die IT-Experten unter euch fragen, ob es denn möglich wäre, trotz fertig gedrucktem QR-Code, ihm eine Webseite, bzw. URL zuzuweisen?

Es ist ja so, dass man eine URL in einen QR-Code umwandeln kann.
Ist es denn auch andersherum möglich? Also einem QR-Code die URL geben?

Ich hoffe, dass es da eine Möglichkeit gibt, sonst hätte ich gerade sehr viel Geld auf Visitenkarten mit nicht funktionsfähigem QR-Code verloren.

Ich danke schonmal im voraus!

...zum Beitrag

Merkwürdige Support-Anfragen für unsere Webseite (KI?)?

Wir haben eine relativ umfangreiche Webseite mit vielen Inhalten. Unter anderem haben wir auch Informationen über Länder und wie die Bewohner heißen.

Seit etwas mehr als einer Woche bekommen wir täglich mindestens eine Support-Anfrage auf Englisch, die sich auf diese Seite bezieht. Da sind Meldungen von kleinen Tippfehlern – teilweise mit Screenshot, teilweise mit Quellenangaben – dabei, aber auch Wünsche für weitere Informationen wie die Währung in diesen Ländern. Die E-Mails sind mal reiner Text, mal auch mit HTML formatiert. Die Absendernamen sind unauffällig und E-Mail-Adressen allesamt Hotmail (.com/.fr) oder Outlook (teils zum Namen passen, teils eher generisch).

Die E-Mails sind zwar auf den ersten Blick unterschiedlich, auf den zweiten Blick weisen sie aber ein ähnliches Schema auf. Seite ein paar Tagen enden zum Beispiel fast alle so:

… this will be corrected in the official website as soon as possible.

Meine Frage ist, ob irgendjemand eine Idee hat, was da abgeht?

Ich vermute mittlerweile, dass die E-Mails von einer KI oder einem KI-System verfasst werden. Wobei hier aber die Screenshots inkl. markiertem Fehler schon sehr aufwändig für eine KI wären.

Was ich aber überhaupt nicht verstehe, was das bringen soll? Soweit ich das überprüfen konnte, enthalten die E-Mails keinerlei Schadcode, die angehängten Bilder sind sauber (zumindest findet VirusTotal nichts) und es gibt auch keine Links zu Webseiten. Ist das nur ein Testlauf, um Spam-Filter zu testen oder was?

...zum Beitrag

Family link und Website = Suchmaschine duck duck go?

Hallo zusammen!! Ich habe heute das Tablet von mein Sohn 11 Jahre in der Hand gehabt was eigentlich durch family link abgesicherten ist und er nur auf alters gerechte Seiten zugreifen kann. Auf Grund der Einstellung und sein alter hatte er auch kein Zugriff mehr auf YouTube!! Bei der Durchsicht des Tablet habe ich im Browser verlauf festgestellt das er die Webseite duck duck go mehrfach aufgerufen hat, was sich als Suchmaschine herzustellte. Über diese Suchmaschine die er komischerweise über sein eingeschränkte Modus aufgerufen kann. Hat er dann vollen UNeingeschränkten Zugriff auf YouTube!! Wahrscheinlich dann auch noch auf weiteren Webseiten oder sogar alle. So etwas sehe ich natürlich auf mein bzw Eltern gerät nicht. Mir wird zwar angezeigt das er google verwendet hat aber nicht welche Webseiten. Hat mich auch nie interessiert weil ich ja wusste dass er nur altersgerechte Seiten aufgerufen kann. Habt ihr ein Tipp wie ich ihn den Zugriff auf dieser Website sperren kann? Er weiß nicht das ich das hier weiß.. Ist wohl auch besser sonst würde er seinen Verlauf wahrscheinlich lösen.

Bin froh über jeden Tipp oder Hilfe

...zum Beitrag

AJAX: Webseite URL angeben?

Hallo,

ich möchte per AJAX eine Datei, die auf einem Webserver liegt, überprüfen. Wie kann ich die URL richtig angeben?

var xhttp = new XMLHttpRequest();
xhttp.onreadystatechange = function() {
  if (this.readyState == 4 && this.status == 200) {
    document.getElementById("test").innerHTML = this.responseText;
  }
};
xhttp.open("GET", "http://test.test/test.php", true);
xhttp.send();

Wenn ich das so angebe, wie im Beispiel als test.test/test.php, funktioniert bei mir nichts.

Wenn ich jedoch die test.php auf dem gleichen Server wie den Request habe, die Datei dann als test.php angebe, funktioniert alles.

Wie kann ich eine Url angeben, sodass es funktioniert?

Edit: Fehlermeldung:

[Error] Origin http://localhost is not allowed by Access-Control-Allow-Origin.
[Error] XMLHttpRequest cannot load https://test.test.test/test.php due to access control checks.
[Error] Failed to load resource: Origin http://localhost is not allowed by Access-Control-Allow-Origin. (test.php, line 0)

...zum Beitrag

PHP/Passwortvergleich: Warum kommt immer wieder eine Fehlermeldung?

Hallo!

Ich will ein Passwort, das eingegeben wird, vergleichen. Doch es kommt immer wieder diese Fehlermeldung:

Eingegebenes Passwort: n1234
admin:238 Benutzername: nadine
admin:242 Uncaught ReferenceError: form is not defined
  at validatePassword (admin:242:18)
  at HTMLButtonElement.onclick (admin:161:100)

Der Code im AdminController sieht so aus:

public function validatePassword(Request $request, $userName) {
  try {
    $password = $request->input('password');

    // Benutzer anhand des Benutzernamens finden
    $user = User::where('username', $userName)->first();

    // Debugging-Informationen in das Log schreiben
    \Log::info('Benutzername: ' . $userName);
    \Log::info('Benutzer gefunden: ' . ($user ? 'Ja' : 'Nein'));

    if (!$user) {
      return response()->json(['valid' => false, 'message' => 'Benutzer nicht gefunden']);
    }

    // Überprüfen, ob das gespeicherte Passwort im Bcrypt-Format ist
    $passwordInfo = password_get_info($user->password);
    \Log::info('Passwort-Algorithmus: ' . $passwordInfo['algoName']);

    if ($passwordInfo['algoName'] !== 'bcrypt') {
      return response()->json(['valid' => false, 'message' => 'Das gespeicherte Passwort verwendet nicht den Bcrypt-Algorithmus.']);
    }

    // Passwortüberprüfung
    $passwordCheck = Hash::check($password, $user->password);
    \Log::info('Passwort korrekt: ' . ($passwordCheck ? 'Ja' : 'Nein'));

    if ($passwordCheck) {
      return response()->json(['valid' => true]);
    }
    else {
      return response()->json(['valid' => false, 'message' => 'Ungültiges Passwort']);
    }
  }
  catch (\Exception $e) {
    \Log::error('Fehler bei der Passwortvalidierung: ' . $e->getMessage());
    return response()->json(['valid' => false, 'message' => 'Serverfehler. Bitte versuchen Sie es später erneut.'], 500);
  }
}

Und im admin blade so:

function showPasswordModal(route, userName) {
  console.log('showPasswordModal() wurde aufgerufen mit Route:', route);
  $('#passwordModal').modal('show');
  $('#passwordForm').attr('action', route); // Setze die Aktion des Passwort-Formulars auf die gewählte Route
  $('#passwordForm').data('userName', userName);
  console.log(userName);
}

function validatePassword() {
  console.log('validatePassword() wurde aufgerufen');
  var enteredPassword = document.getElementById('passwordInput').value;
  var userName = $('#passwordForm').data('userName');
  console.log('Eingegebenes Passwort:', enteredPassword);
  console.log('Benutzername:', userName);

  $.ajax({
    type: 'POST',
    url: form.action,//$('#passwordForm').attr('action'), // Stellen Sie sicher, dass dies die richtige Route ist
    data: {
      '_token': '{{ csrf_token() }}',
      'password': enteredPassword
    },
    success: function(response) {
      console.log('Server-Antwort:', response);

      if (response.valid) {
        $('#payForm').submit();
      }
      else {
        alert(response.message || 'Falsches Passwort! Bitte versuche es erneut.');
      }
    },
    error: function(xhr, status, error) {
      console.error('AJAX-Fehler:', error);
      alert('Fehler beim Validieren des Passworts. Bitte versuche es später erneut.');
    }
  });

Warum kommt immer wieder eine Fehlermeldung? Ich habe schon alles probiert und das schon seit Stunden! Danke.

...zum Beitrag

Mehrsprachige Webseite(n) in PHP steuern?

Ich besitze Webseiten in verschiedenen Sprachen. Von Code her sind alle gleich (kopiert), sind halt nur übersetzt. Um die Pflege des Codes einfacher zu gestalten möchte ich nun nur noch einen Code (root) benutzen und einfach mit Sprachdateien arbeiten. Bisher habe ich es so gehandhabt, dass ich per htaccess redirect PHP Datein ausgeführt habe.

RewriteRule ^apfel/([^/]*) /page.php [L]

In den kopierten Webseiten in anderen Sprachen habe ich dann einfach die Zeile geändert.

RewriteRule ^apple/([^/]*) /page.php [L]

Um den Code der Webseite einfacher zu pflegen plane ich nun nur noch eine Webseite (ein root) mit Sprachdateien. Jetzt stellt es mir die Frage, wie gehe ich mit den Redirects um?

Ich möchte ungern in eine htaccess datei sämtliche redirects in verschiedenen Sprachen schreiben. Meine plan wäre es jetzt den ganzen traffic auf eine einzige PHP Datei zu schicken und dort überprüfe ich welche domain aufgerufen wurde, lade anhand der die Sprachdatei ($lang["url"]) und überprüfe dann welchen Inhalt bsw. Sprache angezeigt werden soll.

Wie zum Beispiel bei domain.de

if($url == $lang["url"][1]) { 
// domain.de/apfel/
} else if ($url == $lang["url"][2]) { 
// domain.de/birne/
}

Oder bei domain.com

if($url == $lang["url"][1]) { 
// domain.com/apple/
} else if ($url == $lang["url"][2]) { 
// domain.com/pear/
}

Wenn ich nun den ganzen Traffic auf eine PHP Datei schicke ist das dann von der Perfomance nicht so gut da dies eine recht lange Datei werden kann? Falls es noch andere Lösungen geben sollte, höre ich diese gerne. Hoffe man versteht, welches "Problem" ich habe.

...zum Beitrag

Selenium WebDriver wird von Instagram erkannt?

Ich benutze Selenium um einen headless Chrome browser zu starten und dann auf eine Instagram video seite zu gehen um die url des quellvideos zu scrapen.

Das geht auch ohne Probleme. Aber sobald es zur url des kontos navigiert, wird Selenium sofort von Instagram erkannt und meine ip-adresse wird direkt blockiert.

Manipulation des user agents, Löschung der js signatur, deaktivierung experimenteller Optionen usw. helfen nicht. Außerdem bewegt sich der Scraper auf der Webseite langsam mit zufälligen delays, womit es eigentlich keine Anzeichen für einen Bot gibt.

Woran könnte es liegen?
Ist ein Proxy wirklich das einzige was hier noch hilft

...zum Beitrag

Webseiten Scraper in Python?

Ich würde gerne einen WebScraper programmieren, jedoch bekomme ich es nicht hin. Ich würde gerne von einer Webseite die Frequenz von unserem Stromnetz auslesen, bekomme aber als Ausgabe nur "None". Hier ist mein Python-Code:

from bs4 import BeautifulSoup

import requests, time

url = f'https://www.apg.at/de/markt/Markttransparenz/Netzregelung/Netzfrequenz'

page = requests.get(url)

soup = BeautifulSoup(page.content, 'html.parser')

table = soup.find('h3', attrs={'class':'mb-0 text-danger ng-tns-c64-1'})

print(table)

Ich habe vor 2 Stunden mit Python angefangen, habe aber bereits gute Kenntnisse in C++ und Java etc. Hat jemand eine Idee, wie ich das Problem lösen kann oder hat jemand bereits was ähnliches programmiert?

LG

...zum Beitrag

Unterschied Fußnoten und Literaturverzeichnis in einer Facharbeit?

Wir müssen im Literaturverzeichnis die Quellen nach folgendem Schema angeben:

Autor Nachname, Vorname: Titel des Buches, Sitz des Verlages: Verlagsname Erscheinungsjahr

Und bei Internetquellen:

Autor Nachname, Vorname: Titel, URL, letzter Zugriff Datum, Uhrzeit

Und dann natürlich alphabetisch sortieren.

Ich habe das jetzt genauso in den Fußnoten gemacht, aber die nehmen ziemlich viel Platz ein.. kann man die irgendwie abkürzen?

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen