Angriffe von Google?

[dl7awl]

Hallo Leute,

ein Blick in mein Server-Log hat ergeben, dass gezielt ein php-Kalenderscript (jax_calendar) eines meiner Server-Kunden mit fast sekündlichen Abfragen mit wechselnden Aufrufparametern bombardiert wird. Sieht ganz so aus, als sollte durch Probieren ein Zugang erreicht bzw. irgend eine Sicherheitslücke ausgenutzt werden. Ich habe die angegriffene Komponente einstweilen stillgelegt.

Was nun höchst stutzig macht: der IP-Bereich, von dem die Aktionen ausgehen - nämlich 66.249.72.* - gehört lt. whois zu Google in USA, CA, und http://www.user-agents.org behauptet, dass er zum Google Image Crawler gehört. Für mich macht das keinen Sinn: warum sollte jener ein php-Script aufs Korn nehmen?

Wer kann diese Vorgänge deuten?

Schöne Grüße,

Manfred

[Roger Wilco]

Entweder sind die URLs irgendwo öffentlich verlinkt und sollen nun indiziert werden oder Google hat ein Problem mit dem betreffenden Rechner. An deiner Stelle würde ich eine E-Mail an die Abuse-Abteilung von Google schreiben, wenn du ersteres ausschließen kannst.

[Joe User]

Entweder sind die URLs irgendwo öffentlich verlinkt und sollen nun indiziert werden

So ist es, ist eine "neue" Masche anonymisierte Angriffe zu fahren. War erst kürzlich irgendwo zu lesen (IIRC Bugtraq oder Heise).

[dl7awl]

Entweder sind die URLs irgendwo öffentlich verlinkt und sollen nun indiziert werden

So ist es, ist eine "neue" Masche anonymisierte Angriffe zu fahren. War erst kürzlich irgendwo zu lesen (IIRC Bugtraq oder Heise).

Ok, diese Artikel habe ich auf die Schnelle nicht finden können - vielleicht ist das der Grund, weshalb ich eins nicht verstehe: was könnte Google veranlassen, nahezu sekündlich immer wieder die gleiche deep-link-Adresse einer völlig unbedeutenden Website zu crawlen, anstatt höchstens alle paar Wochen mal, und das unbeirrbar und egal ob Erfolg (200), Misserfolg (404) oder völlig geblockt, wohingegen andere Seiten des gleichen Servers praktisch unbehelligt bleiben? Und vor allem: wie kommen die wahllos geänderten Aufrufparameter zu Stande?

Beispiel-Log-Ausschnitt (habe Trenn-Leerzeilen eingefügt, damit es trotz Zeilenumbrüchen einigermaßen lesbar bleibt):

Code: Select all

66.249.72.5 - - [10/Aug/2007:04:15:14 +0200] "GET /html/calendar/jax_calendar.php?Y=1773&m=1&d=7&cal_id=0&language=german&gmt_ofs=-1&view=d30 HTTP/1.1" 200 14303 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

66.249.72.5 - - [10/Aug/2007:04:15:15 +0200] "GET /html/calendar/jax_calendar.php?Y=2022&m=2&d=4&cal_id=0&language=german&gmt_ofs=-1&view=d30 HTTP/1.1" 200 13615 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

66.249.72.5 - - [10/Aug/2007:04:15:17 +0200] "GET /html/calendar/jax_calendar.php?Y=3870&m=7&d=8&cal_id=0&language=german&gmt_ofs=-1&view=d30 HTTP/1.1" 200 14302 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

66.249.72.5 - - [10/Aug/2007:04:15:20 +0200] "GET /html/calendar/jax_calendar.php?Y=4071&m=10&d=25&cal_id=0&language=german&gmt_ofs=-1&view=d30 HTTP/1.1" 200 14400 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

66.249.72.5 - - [10/Aug/2007:04:15:22 +0200] "GET /html/calendar/jax_calendar.php?Y=1769&m=12&d=4&cal_id=0&language=german&gmt_ofs=-1&view=d30 HTTP/1.1" 200 14360 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

Anyway, ich habe die Google-Abuse-Abteilung informiert und bin gespannt auf die Antwort.

Gruß, Manfred

[grandcat]

Ganz wahllos scheinen ja die Parameter nicht gesetzt zu werden. So ändern sich nur "Y, m, d". Dem Skriptnamen zu beurteilen generiert das Skript wahrscheinlich einen Kalender, der vielleicht viele anklickbare Links (für jedes Datum) enthält und sich Google nun daran richtig austoben will. Wenn nun Google irgendeinem Link folgt, findet es natürlich viele weitere Links und so kommen schön viele Zugriffe innerhalb kürzerster Zeit zu stande

[lord_pinhead]

Hinder doch einfach den Robot die jax_calendar.php zu indexieren mittels robots.txt, wäre das einfachste.