-google-ads-
2010
12.23

Eine unserer Honeypot-IPs und die dazugehörige Domain wurden von elite-Proxy oder so ähnlich als erstes als ein Proxy gelistet.

Dies hat sich dann in Windeseile über Foren etc. weiter verbreitet.

Die angeforderte URL wird dabei nicht ausgegeben, wenn die URL nicht per RFI-Muster versucht wurde zu includieren. Zudem kommt immer ein dicker Hinweis, das es kein Proxy ist und alle Requests gemeldet werden (ab 2).

Wir haben dann den Status immer von 200 auf 405 und 406 geändert, was die Proxy-Clients allerdings nur in eine Endlosschleife hängen lies und diese bis zu 50 mal versuchten die gleiche URL aufzurufen.

Nachdem sich zu viele Abuse-Teams darüber beschwert haben, das es ja kein Angriff gab, haben wir nun vorerst diesen Honeypot stillgelegt. Er meldet nun immer nur 404 Not Found.

Die ganzen Zugangsdaten, welche per GET oder POST übergeben wurden, könnte man so ganz einfach abfangen. Wenn im nächsten Jahr die Aufrufe weiterhin so stark sind (ca. 25GB Traffic pro Monat und der Dezember ist noch nicht vorbei), dann werden wir die Aufrufe mal genauer analysieren und auswerten.

-google-ads-

Kein Kommentar

Kommentieren

Dein Kommentar