Support » Allgemeine Fragen » Unbekannte Seiten in Access-Log mit Status ok

  • Gelöst AleXaNeel02

    (@alexaneel02)


    Hallo,
    ich weiß nicht, ob meine Frage hier an der richtigen Stelle ist. Ich habe in den Access-Logfiles einer WordPress-Installation massenweise GET-Einträge von Besuchern, die bei http://www.abuseipdb.com als Spammer und Attacker gelistet sind. In den Einträgen wird eine Unterseite genannt, die in der Site gar nicht existiert, von der aber laut Logfile der Status 200 zurückgemeldet wurde. Die Einträge haben dieses Muster:
    static.68.200.76.144.clients.your-server.de – – [07/Jun/2021:05:52:16 +0200] „GET /aquashop/23145wwij433-317-25 HTTP/1.1“ 200 8932 „-“ „Mozilla/5.0 (compatible; MJ12bot/v1.4.8; http://mj12bot.com/)“
    crawl31.bl.semrush.com – – [29/May/2021:11:28:08 +0200] „GET /akibamac/27005gnco4960999787572 HTTP/1.1“ 200 9012 „-“ „Mozilla/5.0 (compatible; SemrushBot/7~bl; +http://www.semrush.com/bot.html)“
    Kennt jemand vielleicht dieses Phänomen und weiß, wie es zu interpretieren ist? Muss ich mir um die Sicherheit der Site Sorgen machen?

    Vielen Dank und viele Grüße
    AleXa

Ansicht von 12 Antworten - 1 bis 12 (von insgesamt 12)
  • Dass es solche „Besucher“ gibt ist normal. Diese suchen u.a. nach Sicherheitslücken. Dagegen helfen starke Passwörter, aktuelle Software und ein paar andere Dinge. Was den Status 200 betrifft: Rufe mal selbst diese Seiten auf und sieh nach, was angezeigt wird. Vielleicht ist es „nur“ Deine Startseite. WordPress hat diverse Möglichkeiten auf Anfragen nicht vorhandener Seiten zu reagieren, standardmäßig sollte allerdings der Status 404 erscheinen. Vielleicht ist bei Deiner Seite in dieser Hinsicht was falsch konfiguriert.

    Bei mir läuft auch regelmäßig jemand durch die Siedlung und hängt mir einen orangen Zettel an mein betagtes Auto „Ruf misch an wegen dein Auto 0175…“ Ich könnnte denjenigen sowas von in den A… treten, aber ich seh immer nur den Zettel, nicht wer ihn an den Spiegel gehängt hat.
    Warum ich das erzähle? Wie schon @hupe13 geschrieben hat: „Dass es solche „Besucher“ gibt ist normal.“

    Auch wenn ich sonst eher gegen „All-in-One“-Sicherheitslösungen bin, halte ich hier das Plugin BBQ Firewall für hilfreich, um die Bots auf dem Grill zu rösten.

    Thread-Ersteller AleXaNeel02

    (@alexaneel02)

    Vielen Dank für die schnellen Antworten und Hinweise. Mich haben auch gar nicht so sehr die „Besucher“ an sich irritiert, sondern der Status 200. Jetzt habe ich festgestellt, dass bei Aufruf der Seiten zwar ein Text „Nichts gefunden“ erscheint, aber nicht auf 404 gegangen wird, sondern die URL bleibt erhalten. Das ist vermutlich der Grund für die Statusmeldung 200…

    # Muss ich mir um die Sicherheit der Site Sorgen machen?
    + Ein einfaches Mittel um ohne Firewall-Plugins und all in one Security-Tools auszukommen ist:
    Setz eine htaccess-Absicherung auf /wp-admin/
    Siehe https://wp-entwickler.at/1654/der-eine-trick-um-wordpress-abzusichern-htaccess-passwort-auf-wp-admin/

    Du bist ja eh bei Hetzner, also geh in der KonsoleH auf Einstellungen->Serverkonfiguration und dort klickst auf das Schloss-Symbol.
    Dann kannst User/Pass setzen.
    Das sichert dich in den meisten Fällen ab!

    Wichtig! Wenn du AJAX/Rest-Dinge hast (zb auch aus Plugins) musst du da selektiver vorgehen!

    Hm, das hilft aber vermutlich bei GET /aquashop/23145wwij433-317-25 nicht so richtig, oder? 😉

    Ich verwende gerne WPS Hide Login, um das Anmeldeformular umzubenennen und nutze dann noch zusätzlich nach Möglichkeit Two Factor. (Leider mit der Erfahrung, dass Kunden das „ganz toll“ finden, aber nie einen Auth-Key einrichten. Da nutzt das Plugin dann wenig.)

    Dafür hilfts:

    Muss ich mir um die Sicherheit der Site Sorgen machen?

    Weils die meisten Bots abhält und dich Hetzner nach n erfolglosen Versuchen, die htaccess-Credentials einzugeben, sperrt.
    Damit ist die IP vom Zugriff auf die Domain gesperrt und auch die oben erwähnten Zugriffe für n Stunden nicht mehr möglich

    • Diese Antwort wurde geändert vor 3 Tage, 9 Stunden von souri.

    Betreffs des Statuscodes: Ich würde nachforschen, warum nicht 404 zurückgegeben wird. Was nicht da ist, ist nicht da.

    @souri Ah, interessanter Ansatz. Danke.

    @hupe13 Das stimmt so pauschal nicht. WordPress versucht, 404-Fehler zu vermeiden und leitet auf „möglichst passende“ Seiten weiter. Ich zitiere mal aus der Doku zur Funktion redirect_canonical():

    Versucht auch, den richtigen Link zu finden, wenn ein Benutzer eine URL eingibt, die basierend auf einer exakten WordPress-Abfrage nicht existiert. Stattdessen wird versucht, die URL oder Abfrage zu analysieren, um die richtige Seite zu finden.

    (Übersetzung mit deepl.com)

    redirect_canonical():

    Ja, ich weiß. Ich habe extra nachgesehen, ob das auf meiner (Test-)Seite modifiziert ist. Dann hat WordPress bei meiner Test-URL wohl wirklich nichts passendes gefunden.

    Ansonsten habe ich es modifiziert, falls es von Interesse für @alexaneel02 ist:

    function no_redirect_on_404($redirect_url) {
        if (is_404()) return false;
        return $redirect_url;
    }
    add_filter('redirect_canonical', 'no_redirect_on_404');

    (Quelle Internet)

    Is dir der 404er so wichtig? Als Flags in den Logs????

    P.S. Danke fürs Teilen des Snippets!

    Ja, das war so ziemlich das erste, als ich WordPress kennengelernt habe, was mich gestört hat. Aber mir ging / geht es nicht um das Flag in den Logs, sondern um den Statuscode als Antwort, dass die Seite wirklich nicht existiert.

    Ok! Also ist dir wichtiger den Benutzer zu sagen:
    „Da gibts nix“

    OK! Check!

    Ajo:
    if (is_404()) return false;
    Das tut weh 🙂

    Wir sind auch auf eine schmalere Formulierung umgestiegen, wenn man aus Funktion raus will.
    Aber die geschwungenen Klammern bleiben, weils beim Code-Scannen eine wichtige Flag, ein wichtiges Erkennungsmerkmal o.ä., ist

Ansicht von 12 Antworten - 1 bis 12 (von insgesamt 12)