So nach und nach wird unser Honigtopf immer interessanter – heute ging uns gerade der zweite Zero Day Exploit ins virtuelle Netz. Erneut (und: zum Glück) betraf es aber nicht TYPO3, sondern ein anderes CMS, und die Lücke haben wir natürlich brav dem Hersteller gemeldet. Und erneut handelt es sich um eine “Remote File Inclusion” Lücke; es fällt auf, dass inzwischen sehr viele Scans nach solchen – leicht ausnutzbaren – Verwundbarkeiten suchen. Was zumindest im Mittel zu der Feststellung führt: Auch die Hacker werden immer fauler. ;- )Übrigens treten Angriffe wie die oben genannten auch auf beliebigen anderen Servern auf – je prominenter die Website, je mehr Zugriffsversuche. Selbige lassen sich also auch auf solchen Servern schön beobachten. Wozu dann überhaupt der Honeypot? Ganz einfach: Wir wollen ja nicht nur die ungezielten Scans (“Ich prüfe mal 100 Mio. Server auf das Vorhandensein eine phpbb-Lücke…”) beobachten, sondern vor allem etwaige gezielte Angriffe gegen TYPO3 und seine Extensions (z.B. per <Suchmaschine meiner Wahl> und anschließendem direkten Angriff auf etwaige TYPO3-Lücken). Daher ist ein wichtiger Aspekt des Honeypots, das Vorhandensein aller möglichen Extensions zu verbreiten, und Zugriffe gezielt zu kontrollieren.

Geschrieben am Freitag, 05. Oktober 2007 um 11:21 Uhr und abgelegt unter Hintergrund. Verfolgen Sie die Diskussion zu diesem Beitrag per RSS 2.0 Feed. Sie können diesen Beitrag kommentieren oder einen trackback von Ihrer eigenen Webseite setzen.