Zugriff auf "geheime" Seiten
Guten Abend,
meine Google-Suche brachte kein Ergebnis, daher frage ich hier:
Ich betreibe einen Webserver mit fester IP, der Anfragen auf Port 80 nur
von localhost erlaubt. Von außen werden Zugriffe per https beantwortet,
wobei die meisten Seiten erst nach Passworteingabe zugänglich sind (wird
per htpasswd gepfüft).
In error.log tauchen immer mal wieder Anfragen auf solche Seiten auf,
wobei die URLs ziemlich einzigartig sind (sowas wie
/mutti/backtkuchen.php), aber existieren und nicht ausprobiert werden.
Der Server läuft unter wheezy.
Woher kann der Angreifer die URLs kennen? Ich bin der einzige, der diese
Seiten je aufgerufen hat, und dies nur unter Debian wheezy per Iceweasel
und auch nur von einem einzigen System aus. Es sind etliche Ass-Ons
aktiv (Adblock, Ghostery...). Meine Vermutung ist, dass entweder
Firefox/Iceweasel oder eines der Plugins die URLs wegschickt. Kennt
jemand so etwas?
Alle Anfragen kommen nach meiner Beobachtung aus diesem Netz:
NetRange: 208.78.80.0 - 208.78.87.255
OrgName: Gig Avenue, LLC
Dieses Netz ist per hosts.deny geblockt, des weiteren läuft fail2ban,
auch war noch kein Zugriff erfolgreich. Wenn die Zugriffe aber wirklich
darauf beruhen, dass meine Daten ohne meine Kenntnis gesendet werden...
Gibt es da Erfahrungen Eurerseits? Oder sogar Abhilfe?
Danke sagt
Matthias
Reply to: