Bad Admin Login

[Uli2003]

Guten Morgen die Runde,

ich habe seit einiger Zeit das Problem, dass ich Mails vom System bekomme mit 'Bad Work on my Site'.

Der Inhalt sieht dann beispielsweise so aus:

Aktion: Bad Adminlogin - Account: aikolespuyue@163.com (no session-check-id)
    IP : 47.52.2.135
    port: 19072
    hostname : 47.52.2.135
    time: 2017-02-09 11:04:26
    browser: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
    data: a:7:{s:2:"op";s:5:"login";s:5:"check";s:32:"386d29cbe6e9d660c37a5894945bdd28";s:4:"sess";s:32:"c0077e1b5981c9c75f51443de69b4634";s:3:"uri";s:52:"aHR0cDovL3d3dy4xYnYtbGlwcHN0YWR0LmRlL2FkbWluLnBocA==";s:3:"aid";s:20:"aikolespuyue@163.com";s:3:"pwd";s:9:"F55d3499-";s:6:"submit";s:5:"Login";}

Wann wird diese Mail generiert, und was kann ich dagegen machen? Passiert mittlerweile mehrfach täglich, meist vom gleichen Server - leider kann ich den aber nicht sperren.

Grüße
Uli

[TerraProject]

Hi,

dieses Mail wird im Intern Data Security (IDS) System von pragmaMx ausgelöst. Dieses System erkennt Hacks auf DB, System und die User/Admin-Logins. Von einer Abschaltung des IDS rate ich ab. In letzter Zeit bekommen wir auch vermehrt Informationen über Hacks auf pragma-Seiten. Die Hacker kommen vor allem aus Rumänien, Slovenien, Ukraine und, wie auch in deinem Falle, aus China. Diese Hacks versuchen mit den Hacks, z.Bsp. die Startseiten zu verändern, um Ihre Werbung, Links etc. oder neue Startseiten zu generieren. Da aber pragmaMx kein Nuke-System mehr ist, funktionieren die Hacks bei uns nicht und werden vom IDS abgefangen.
Wir haben auch noch keine Informationen erhalten, daß irgendein Hackversuch erfolgreich war.

Also, Resume:
1. sei froh daß du das Mail bekommst und deine Seite dich warnt, daß du angegriffen worden bist.
2. Schau dir deine noch einmal Sicherheitseinstellungen des Systems an
3. beobachte Aktionen, welche ggf. auf unerwünschte Links auf deiner Seite hinweisen (Kommentare, Forum etc.)
4. halte dein pragmaMx immer auf dem neuesten Stand!!

[Uli2003]

Hi Olaf, danke für die Antwort.

Nein, das IDS möchte ich nicht abschalten.
Da die IP-Adressen ja im Log stehen, werde ich diese aussperren. Scheinen statisch zu sein, sind über Tage die gleichen. Vielleicht reduziert das dann etwas.

Mein MX ist überall aktuell.

Grüße
Uli

[pyr0]

Ja genau, einfach aussperren und gut ist.

[Uli2003]

Ich muss dieses Thema noch mal ausgraben.

Aussperren hat nichts gebracht, die IPs wechseln laufend und stammen teilweise auch aus Deutschland. Somit bringen Sperren über ganze Pools auch nichts.

Allerdings bekomme ich mittlerweile täglich massenhaft Mails, immer der oben genannten Art, und das ist kein Dauerzustand. Offenbar ein Bot.

Gibt es irgendeine Möglichkeit, diesem z.B. die Startadresse zu nehmen? Ich habe versucht den Admin-Login zu verschieben, dann läuft aber ohne viel Aufwand nix mehr.
Die Mailadressen des Login Versuchs sind immer die gleichen, vielleicht ein Dutzend. Sind gesperrt, die Mail kommt dennoch

Hat jemand eine Idee?

Viele Grüße
Uli

[TerraProject]

Alternativ : dem Pfad /admin per htaccess sperren
mit Passwort.....

[Uli2003]

Das habe ich versucht. Da die admin.php aber im root liegt, kann sie dennoch aufgerufen werden und generiert dann die Mail.

Eine Dateisperre via .htaccess im root für die admin.php ist nicht zu handeln und bringt nur Fehlermeldungen im Browser, auch abhängig davon, ob man bereits eingeloggt ist oder nicht.


Läge die admin.php im admin-Ordner, wäre ersteres sicher möglich. Zumindest für eine Weile, bis der Angreifer merkt das nichts mehr geht. Nur dann passen wohl einige Pfade nicht. Wo müsste ich denn dafür überall anpassen? Oder ist der Aufwand dann schon zu hoch?

Grüße
Uli