Hallo Leute,
mein Name ist Thomas, 29, aus Bayern und ich stehe gerade vor folgendem Verständnisproblem im Zusammenhang mit einer Joomla Installation
Ich bin gerade beim Stöbern durch die access.logs auf meinem System auf folgende Einträge in einer der access.log Files gestoßen:
5.101.78.76 - - [27/Apr/2017:06:11:55 +0200] "HEAD / HTTP/1.0" 200 486 "http://express-vyvoz.ru/stati/srochnyj-vyvoz-musora.html" "Mozilla/5.0 (compatible; MSIE2.00; Windows 2008)"
188.227.18.37 - - [27/Apr/2017:06:11:55 +0200] "HEAD / HTTP/1.0" 200 486 "http://ecolight-ua.com.ua/pr15-svetodiodnye-svetilniki-nakladnye-dlja-gorjachih-cehov-kupit/" "Mozilla/7.0 (compatible; MSIE2.00; Windows 2003)"
185.125.219.134 - - [27/Apr/2017:06:12:04 +0200] "HEAD / HTTP/1.0" 200 486 "http://dengi-v-kredit.in.ua/uk/kredit-za-odnu-godinu-bez-poruchiteliv-v-kiyevi/" "Mozilla/7.0 (compatible; MSIE5.00; Windows 2007)"
193.124.190.64 - - [27/Apr/2017:06:21:04 +0200] "HEAD / HTTP/1.0" 200 486 "https://sn22.ru/catalog/nasosy-i-nasosnye-stantsii/" "Mozilla/8.0 (compatible; MSIE6.00; Windows 2004)"
31.13.113.172 - - [27/Apr/2017:06:31:42 +0200] "GET / HTTP/1.0" 206 3898 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
31.13.113.172 - - [27/Apr/2017:06:31:43 +0200] "GET /index.php HTTP/1.0" 206 3887 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
31.13.114.67 - - [27/Apr/2017:06:31:43 +0200] "GET /images/allgemein/logo_kohnen2_72.png HTTP/1.0" 200 270 "http://www.kohnenimmobilien.de/" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
31.13.113.180 - - [27/Apr/2017:06:31:43 +0200] "GET /images/allgemein/Facebook.jpg HTTP/1.0" 200 264 "http://www.kohnenimmobilien.de/" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
31.13.114.65 - - [27/Apr/2017:06:31:48 +0200] "GET /images/Auen.jpg HTTP/1.0" 200 250 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
31.13.114.67 - - [27/Apr/2017:06:31:51 +0200] "GET /images/Auen.jpg HTTP/1.0" 200 250 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
185.154.13.6 - - [27/Apr/2017:07:03:03 +0200] "HEAD / HTTP/1.0" 200 486 "https://neonsignusa.com/shop/3797/desc/b312-b-baltimore-ravens-helmet-new-bar-neon-light-signs" "Mozilla/4.0 (compatible; MSIE7.00; Windows 2002)"
178.159.39.237 - - [27/Apr/2017:07:03:03 +0200] "HEAD / HTTP/1.0" 200 486 "http://cleaningservices.kiev.ua/poslestroitelnaya-uborka-pomesheniy-kiev" "Mozilla/6.0 (compatible; MSIE7.00; Windows 2004)"
77.220.213.173 - - [27/Apr/2017:07:03:04 +0200] "HEAD / HTTP/1.0" 200 486 "http://swiftnaturecamp.com/homeschool-summer-camp" "Mozilla/6.0 (compatible; MSIE7.00; Windows 2007)"
157.55.39.246 - - [27/Apr/2017:07:14:09 +0200] "GET /index.php/immobilienangebote.html?view=property&id=17:vollm\xc3\xb6bliertes-chices-appartment-im-westend-frankfurt_i9b9p4tr HTTP/1.0" 200 9878 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
178.159.43.212 - - [27/Apr/2017:07:27:19 +0200] "HEAD / HTTP/1.0" 200 486 "https://petboy.ru/products/18666394" "Mozilla/4.0 (compatible; MSIE5.00; Windows 2009)"
199.15.233.162 - - [27/Apr/2017:07:44:31 +0200] "GET /wp-login.php HTTP/1.0" 404 1323 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
199.15.233.162 - - [27/Apr/2017:07:44:31 +0200] "GET //wp-login.php HTTP/1.0" 404 1323 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
194.87.238.17 - - [27/Apr/2017:08:41:26 +0200] "HEAD / HTTP/1.0" 200 486 "http://www.vaikams.info/" "Mozilla/5.0 (compatible; MSIE3.00; Windows 2002)"
195.133.48.150 - - [27/Apr/2017:08:41:26 +0200] "HEAD / HTTP/1.0" 200 486 "http://www.xn--80aaaks3bbhabgbigamdr2h.xn--p1ai/novosti-migratsii/352-kak-bystro-organizovat-poluchenie-zagranpasporta-novogo-obraztsa.html" "Mozilla/3.0 (compatible; MSIE3.00; Windows 2007)"
Alles anzeigen
Kann mir denn da bitte jemand auf die Sprünge helfen, was wohl mit diesen dubiosen HEAD Anfragen bezweckt wird?
Ist das bereits ein Hinweis auf ein gehacktes Joomla System?
Denn laut meiner Prüfung mit Clamscan und meiner grep suche nach <?php "und einige Leerzeichen" hat auf die schnelle jetzt nichts verdächtiges gegeben... auch werden nicht wie sonst üblich irgendwelche POST Aufrufe gemacht die auf bestimmt infizierte Dateien hinweisen würden... Nur diese HEAD Anfragen den ganzen Tag über...
Herzlichen Dank schon mal im Voraus
Viele liebe Grüße
Thomas