Guten Abend,
ich hab leider keinen Bereich gefunden wo es besser reingepasst hätte, deshalb ist das mal hier gelandet.
Also Vorweg es geht nicht um einfach Spammbots die nervige Einträge in Gästebücher, Foren etc. verfassen, sondern um einen/mehrere Bots, die
seit einiger Zeit auf meinem Server diverse Ordner/Datein suchen. Hier mal ein ausschnitt aus dem access_log
Code:
87.118.***.** - - [09/Oct/2007:01:55:09 +0200] "GET /phpmyadmin2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:09 +0200] "GET /phpMyAdmin2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:09 +0200] "GET /phpMyAdmin-2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:09 +0200] "GET /php-my-admin/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:09 +0200] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:09 +0200] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:09 +0200] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.5.5-rc1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.5.5-rc2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.5.5/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.5.5-pl1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.5.6-rc1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.5.6-rc2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.5.7/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.5.7-pl1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0-alpha/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0-alpha2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0-beta1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0-beta2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0-rc1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0-rc2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0-rc3/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0-pl2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.0-pl3/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:10 +0200] "GET /phpMyAdmin-2.6.1-rc1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.1-rc2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.1-pl1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.1-pl2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.1-pl3/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.2-beta1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.2/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.2-pl1/main.php HTTP/1.0" 404 1008 "-" "-"
87.118.***.** - - [09/Oct/2007:01:55:11 +0200] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 1008 "-" "-"
Wie man dem Log entnehmen kann, sucht da jemand nach einem Datenbank webinterface, genauer gesagt nach "phpMyAdmin", die anfragen werden zwar alle mit Error 404 beantwortet, also nicht gefunden und auf meinem Server gibt es auch keinerlei Datenbankzugriffsmöglichkeiten von außerhalb, aber die Absicht Schaden anzurichten ist meiner Meinung nach deutlich erkennbar, außerdem entstehen mir ja unnötige Kösten durch den entstandenen Traffic, mein kleiner Webserver wo eigentlich nur zwei relativ selten besuchte Webseiten liegen, kommt auf eine stattliche Summe von mehreren Gigabyte Traffic im Monat, noch reicht der inclusiv Traffic aus, aber das ganze geht jetzt schon seit bestimmt 4 Monaten, wenn es mehr wird könnten mir dadurch unkosten entstehen.
Daher meine Frage, wie geht man am besten dagegen vor? Die Logs der ganzen Monate liegen mir noch vor (40 gb Logdatein!!), versucht man den Webserver nur abzusichern, sodass man sicher sein kan, das er das gesuchte nicht finden wird, oder versucht man es gesetztlich mit einer Anzeige? ...Laut den im Internet zu findenen IP-Adressen lokalisierungen kommt er aus England und da die adresse sich "nur" täglich ändert, wird es sich nicht unbedingt um einen Profi handeln, oder?
![[Bild: signatur_fotoblog.jpg]](http://lh6.google.com/image/e.phy05/RjeJC9rbNII/AAAAAAAAAs8/SATAq9a1tg0/signatur_fotoblog.jpg)
