Bitte um Hilfe beim Verstehen von diesen Anfragen in access.log

Brain11 · 27. April 2017

Hallo Leute,

mein Name ist Thomas, 29, aus Bayern und ich stehe gerade vor folgendem Verständnisproblem im Zusammenhang mit einer Joomla Installation

Ich bin gerade beim Stöbern durch die access.logs auf meinem System auf folgende Einträge in einer der access.log Files gestoßen:

Code

5.101.78.76 - - [27/Apr/2017:06:11:55 +0200] "HEAD / HTTP/1.0" 200 486 "http://express-vyvoz.ru/stati/srochnyj-vyvoz-musora.html" "Mozilla/5.0 (compatible; MSIE2.00; Windows 2008)"
188.227.18.37 - - [27/Apr/2017:06:11:55 +0200] "HEAD / HTTP/1.0" 200 486 "http://ecolight-ua.com.ua/pr15-svetodiodnye-svetilniki-nakladnye-dlja-gorjachih-cehov-kupit/" "Mozilla/7.0 (compatible; MSIE2.00; Windows 2003)"
185.125.219.134 - - [27/Apr/2017:06:12:04 +0200] "HEAD / HTTP/1.0" 200 486 "http://dengi-v-kredit.in.ua/uk/kredit-za-odnu-godinu-bez-poruchiteliv-v-kiyevi/" "Mozilla/7.0 (compatible; MSIE5.00; Windows 2007)"
193.124.190.64 - - [27/Apr/2017:06:21:04 +0200] "HEAD / HTTP/1.0" 200 486 "https://sn22.ru/catalog/nasosy-i-nasosnye-stantsii/" "Mozilla/8.0 (compatible; MSIE6.00; Windows 2004)"
31.13.113.172 - - [27/Apr/2017:06:31:42 +0200] "GET / HTTP/1.0" 206 3898 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
31.13.113.172 - - [27/Apr/2017:06:31:43 +0200] "GET /index.php HTTP/1.0" 206 3887 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
31.13.114.67 - - [27/Apr/2017:06:31:43 +0200] "GET /images/allgemein/logo_kohnen2_72.png HTTP/1.0" 200 270 "http://www.kohnenimmobilien.de/" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
31.13.113.180 - - [27/Apr/2017:06:31:43 +0200] "GET /images/allgemein/Facebook.jpg HTTP/1.0" 200 264 "http://www.kohnenimmobilien.de/" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
31.13.114.65 - - [27/Apr/2017:06:31:48 +0200] "GET /images/Auen.jpg HTTP/1.0" 200 250 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
31.13.114.67 - - [27/Apr/2017:06:31:51 +0200] "GET /images/Auen.jpg HTTP/1.0" 200 250 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
185.154.13.6 - - [27/Apr/2017:07:03:03 +0200] "HEAD / HTTP/1.0" 200 486 "https://neonsignusa.com/shop/3797/desc/b312-b-baltimore-ravens-helmet-new-bar-neon-light-signs" "Mozilla/4.0 (compatible; MSIE7.00; Windows 2002)"
178.159.39.237 - - [27/Apr/2017:07:03:03 +0200] "HEAD / HTTP/1.0" 200 486 "http://cleaningservices.kiev.ua/poslestroitelnaya-uborka-pomesheniy-kiev" "Mozilla/6.0 (compatible; MSIE7.00; Windows 2004)"
77.220.213.173 - - [27/Apr/2017:07:03:04 +0200] "HEAD / HTTP/1.0" 200 486 "http://swiftnaturecamp.com/homeschool-summer-camp" "Mozilla/6.0 (compatible; MSIE7.00; Windows 2007)"
157.55.39.246 - - [27/Apr/2017:07:14:09 +0200] "GET /index.php/immobilienangebote.html?view=property&id=17:vollm\xc3\xb6bliertes-chices-appartment-im-westend-frankfurt_i9b9p4tr HTTP/1.0" 200 9878 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
178.159.43.212 - - [27/Apr/2017:07:27:19 +0200] "HEAD / HTTP/1.0" 200 486 "https://petboy.ru/products/18666394" "Mozilla/4.0 (compatible; MSIE5.00; Windows 2009)"
199.15.233.162 - - [27/Apr/2017:07:44:31 +0200] "GET /wp-login.php HTTP/1.0" 404 1323 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
199.15.233.162 - - [27/Apr/2017:07:44:31 +0200] "GET //wp-login.php HTTP/1.0" 404 1323 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
194.87.238.17 - - [27/Apr/2017:08:41:26 +0200] "HEAD / HTTP/1.0" 200 486 "http://www.vaikams.info/" "Mozilla/5.0 (compatible; MSIE3.00; Windows 2002)"
195.133.48.150 - - [27/Apr/2017:08:41:26 +0200] "HEAD / HTTP/1.0" 200 486 "http://www.xn--80aaaks3bbhabgbigamdr2h.xn--p1ai/novosti-migratsii/352-kak-bystro-organizovat-poluchenie-zagranpasporta-novogo-obraztsa.html" "Mozilla/3.0 (compatible; MSIE3.00; Windows 2007)"

Alles anzeigen

Kann mir denn da bitte jemand auf die Sprünge helfen, was wohl mit diesen dubiosen HEAD Anfragen bezweckt wird?

Ist das bereits ein Hinweis auf ein gehacktes Joomla System?

Denn laut meiner Prüfung mit Clamscan und meiner grep suche nach <?php "und einige Leerzeichen" hat auf die schnelle jetzt nichts verdächtiges gegeben... auch werden nicht wie sonst üblich irgendwelche POST Aufrufe gemacht die auf bestimmt infizierte Dateien hinweisen würden... Nur diese HEAD Anfragen den ganzen Tag über...

Herzlichen Dank schon mal im Voraus
Viele liebe Grüße
Thomas

Re:Later · 27. April 2017

So ungefähr: HEAD-Anfragen liefern Infos, die auch eine GET-Anfrage ausliefert, aber eben nicht die ganze Seite. Geht halt schneller an Grundinformationen ranzukommen. Je nachdem was der Server und System an Daten im Header ausliefert, kann das grundlegend interessant auch für Hacker sein. Kein unmittelbares Anzeichen für einen erfolgreichen Hack. Im Bereich Hacks ein Sondieren vielleicht. Hat jeder in seinen Logs.

Brain11 · 27. April 2017

Super für die schnelle Antwort, habs mir schon genau so gedacht, wollte es nur noch mal aus anderem Munde hören.

Danke vielemals und bis demnächst!

Viele liebe Grüße
Thomas

flotte · 29. April 2017

Wie Later schon erläutert hat, sind HEAD-Anfragen ähnlich GET, mit dem Unterschied das keine Inhalte geladen werden, sondern nur der Header ausgeliefert wird. Wird legal benutzt, aber vielfach eben auch von Hackern, die damit auf das Vorhandensein bestimmter Dateien/URLs prüfen wollen. Weiter wird das benutzt um SEO-Spam zu übermitteln. Das ist offenbar bei Deinen geposteten Anfragen der Sinn, denn diese gehen relativ sinnfrei einfach nur per Abfrage auf "/" auf das Webroot. Die übermittelten Herkunfts-Links (Referrer) stehen dann aber in Deiner Logfilestatistik und verleiten zum Draufklicken, weil man ja wissen will woher Besucher kommen - und schon hat das Spamming funktioniert.
HEAD-Anfragen sind zu 99% Hacker-Recherchen und SEO-Spam.

Brain11 · 4. Mai 2017

herzelichen dank für die ausführlichen infos!