Hallo, haben heute Nacht einen merkwürdigen Zugriff festgestellt. Über die Abfrage „Zugriffsquellen“ erscheint /shopware.php/sViewport.account/?cookies1&showimg=1&truecms=1 Wenn man diesem Link folgt landet man auf der Seite zum einloggen. Daraufhin haben wir die access.log Profihost zur Verfügung gestellt. Nach Prüfung der Datei verwies Profihost auf folgenden Eintrag: 81.163.135.69 - - [09/Jul/2012:00:37:40 +0200] „POST /shopware.php/sViewport,account/?cookies=1&showimg=1&truecss=1 HTTP/1.1“ 301 1428 „http://meinshop.de/shopware.php/sViewport,account/?cookies=1&showimg=1&truecss=1“ „Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)“ Daneben wies Profihost noch darauf hin, daß es sich um einen Zugriff aus der Ukraine handelte und zu prüfen wäre, was shopware insbesondere mit der Anfrage 301 1428 macht und ob es ein Sicherheitsproblem geben könnte. Hat schon ein anderer soetwas gehabt? Vieleicht kann sich auch jemand von shopware dazu äußern. Vielen Dank marc
Das ist so ein Bot, der Schwachstellen einzelner Programme bzw. deren Existenz durchtestet. Auf jeden Fall solltest Du diese IP sperren. Die 301 ist das Redirect als Returncode, die 1428 die Bytelänge des POST Requests.
Danke für die Info! Aber wo sperre ich diese ip?
Im Webserver über “deny from” oder Du wirfst die Pakete über iptables weg oder Du machst das über das http “Modul” von fail2ban.
Nochmal eine Frage dazu. Erklärt dieses auch die im Verhältmis sehr hohen 1Seiten Zugriffe? Marc
Das müsstest Du etwas genauer spezifizieren. 1-Seiten Zugriffe pro was? IP? Das würde es nur erklären, wenn es dutzende Bots sind und alle Requests haben mit den normalen Shop-URLs nichts zu tun, sondern prüfen so URLs ab wie /phpmyadmin und solche Scherze. Hast Du eine hohe Quote von 1-Seiten Zugriffen von normalen Besuchern, hast Du einfach eine miese Bounce Rate, bei Google Analytics auch Absprungrate genannt. Dann haben potentielle Kunden schon nach der ersten Seite keine Lust mehr, weiter zu klicken. Entweder haben sie dann nicht gefunden, was sie gesucht haben oder die Seite ist a…langsam oder sie sieht nicht vetrauenerweckend aus oder Du hast zu hohe Preise, oder, oder, oder…
Ich meinte eigendlich nur den gestrigen Tag. Ansonsten hatten wir dies nicht. heute morgen sieht bisher auch alles normal aus. Werde das mir nochmal genauer anschauen und beobachten.