Page 1 of 1
Angriffe von Google?
Posted: 2007-08-10 21:31
by dl7awl
Hallo Leute,
ein Blick in mein Server-Log hat ergeben, dass gezielt ein php-Kalenderscript (jax_calendar) eines meiner Server-Kunden mit fast sekündlichen Abfragen mit wechselnden Aufrufparametern bombardiert wird. Sieht ganz so aus, als sollte durch Probieren ein Zugang erreicht bzw. irgend eine Sicherheitslücke ausgenutzt werden. Ich habe die angegriffene Komponente einstweilen stillgelegt.
Was nun höchst stutzig macht: der IP-Bereich, von dem die Aktionen ausgehen - nämlich 66.249.72.* - gehört lt. whois zu Google in USA, CA, und
http://www.user-agents.org behauptet, dass er zum Google Image Crawler gehört. Für mich macht das keinen Sinn: warum sollte jener ein php-Script aufs Korn nehmen?
Wer kann diese Vorgänge deuten?
Schöne Grüße,
Manfred
Re: Angriffe von Google?
Posted: 2007-08-10 21:42
by Roger Wilco
Entweder sind die URLs irgendwo öffentlich verlinkt und sollen nun indiziert werden oder Google hat ein Problem mit dem betreffenden Rechner. An deiner Stelle würde ich eine E-Mail an die Abuse-Abteilung von Google schreiben, wenn du ersteres ausschließen kannst.
Re: Angriffe von Google?
Posted: 2007-08-10 22:21
by Joe User
Roger Wilco wrote:Entweder sind die URLs irgendwo öffentlich verlinkt und sollen nun indiziert werden
So ist es, ist eine "neue" Masche anonymisierte Angriffe zu fahren. War erst kürzlich irgendwo zu lesen (IIRC Bugtraq oder Heise).
Re: Angriffe von Google?
Posted: 2007-08-10 23:54
by dl7awl
Joe User wrote:Roger Wilco wrote:Entweder sind die URLs irgendwo öffentlich verlinkt und sollen nun indiziert werden
So ist es, ist eine "neue" Masche anonymisierte Angriffe zu fahren. War erst kürzlich irgendwo zu lesen (IIRC Bugtraq oder Heise).
Ok, diese Artikel habe ich auf die Schnelle nicht finden können - vielleicht ist das der Grund, weshalb ich eins nicht verstehe: was könnte Google veranlassen, nahezu sekündlich immer wieder die gleiche deep-link-Adresse einer völlig unbedeutenden Website zu crawlen, anstatt höchstens alle paar Wochen mal, und das unbeirrbar und egal ob Erfolg (200), Misserfolg (404) oder völlig geblockt, wohingegen andere Seiten des gleichen Servers praktisch unbehelligt bleiben? Und vor allem: wie kommen die wahllos geänderten Aufrufparameter zu Stande?
Beispiel-Log-Ausschnitt (habe Trenn-Leerzeilen eingefügt, damit es trotz Zeilenumbrüchen einigermaßen lesbar bleibt):
Code: Select all
66.249.72.5 - - [10/Aug/2007:04:15:14 +0200] "GET /html/calendar/jax_calendar.php?Y=1773&m=1&d=7&cal_id=0&language=german&gmt_ofs=-1&view=d30 HTTP/1.1" 200 14303 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.72.5 - - [10/Aug/2007:04:15:15 +0200] "GET /html/calendar/jax_calendar.php?Y=2022&m=2&d=4&cal_id=0&language=german&gmt_ofs=-1&view=d30 HTTP/1.1" 200 13615 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.72.5 - - [10/Aug/2007:04:15:17 +0200] "GET /html/calendar/jax_calendar.php?Y=3870&m=7&d=8&cal_id=0&language=german&gmt_ofs=-1&view=d30 HTTP/1.1" 200 14302 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.72.5 - - [10/Aug/2007:04:15:20 +0200] "GET /html/calendar/jax_calendar.php?Y=4071&m=10&d=25&cal_id=0&language=german&gmt_ofs=-1&view=d30 HTTP/1.1" 200 14400 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.72.5 - - [10/Aug/2007:04:15:22 +0200] "GET /html/calendar/jax_calendar.php?Y=1769&m=12&d=4&cal_id=0&language=german&gmt_ofs=-1&view=d30 HTTP/1.1" 200 14360 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
Anyway, ich habe die Google-Abuse-Abteilung informiert und bin gespannt auf die Antwort.
Gruß, Manfred
Re: Angriffe von Google?
Posted: 2007-08-11 01:48
by grandcat
Ganz wahllos scheinen ja die Parameter nicht gesetzt zu werden. So ändern sich nur "Y, m, d". Dem Skriptnamen zu beurteilen generiert das Skript wahrscheinlich einen Kalender, der vielleicht viele anklickbare Links (für jedes Datum) enthält und sich Google nun daran richtig austoben will. Wenn nun Google irgendeinem Link folgt, findet es natürlich viele weitere Links und so kommen schön viele Zugriffe innerhalb kürzerster Zeit zu stande
Re: Angriffe von Google?
Posted: 2007-08-13 19:37
by lord_pinhead
Hinder doch einfach den Robot die jax_calendar.php zu indexieren mittels robots.txt, wäre das einfachste.