CMS sniffers en hackers

  • ± 2 minuten

Dagelijks krijg ik te maken met willekeurige 404 meldingen en dus verwijzingen naar niet bestaande interne pagina's, zo lijkt het op het eerste gezicht. De veelvoud aan deze meldingen hebben echter een andere oorzaak die gezocht moet worden in de hacking-wereld.

Het CMS waarop deze website draait, heb ik -voordat dit via Google Webmaster Tools mogelijk was- voorzien van een 404-tracker, om eenvoudig te kunnen achterhalen waar eventuele verwijzingen of bepadingen, verkeerd gaan en ik ze tijdig op kan lossen waar nodig.

Wat de Google Webmaster Tools niet laat zien, maar mijn eigen log wel, zijn opgevraagde pagina's die binnen de Google archieven niet aanwezig zijn. De reden dat dit soort in praktijk onbekende en niet bestaande url's toch opgevraagd worden? Zogenaamde CMS Sniffers, en dan met name de kwaadwillende.

Werkwijze

Dit soort bots gaan websites af, op zoek naar voor Wordpress (of andere open source systemen) bekende paden, waarbij verschillende varianten getest worden. In het geval er een 200 status code teruggegeven wordt, zullen ze tevens de versie achterhalen en middels voor die versie bekende kwetsbaarheden, overgaan tot het binnendringen van het Wordpress systeem.

Naast Wordpress, heb ik ook kunnen concluderen dat hetzelfde gebeurt voor Magento, Joomla, Drupal, Kohana, Kirby en Prestashop (/modules/simpleslideshow/uploadimage.php). Een voorbeeld van opgevraagde url's.

/blogs/wp-login.php
/blog/wp-login.php
/wp/wp-login.php
/wordpress/wp-login.php
/wp-login.php
/wp-admin/admin-ajax.php

/wp/
/wordpress/
/blog/
/blog/robots.txt
/xmlrpc.php?rsd

IP-adressen

In een maand tijd heb ik de volgende lijst voor mijn .htaccess-file op kunnen stellen op basis van mijn log met requests die een 404 status code opleverden:

# sniff bots
deny from 180.97.221.32 # Real eCommerce SQL injection
deny from 116.111.169.64 # wordpress sniffer ?author=1
deny from 103.23.135.28 # wordpress sniffer ?author=1
deny from 176.218.176.58 # wordpress sniffer ?author=1
deny from 218.48.178.190 # wordpress sniffer ?author=1
deny from 117.212.169.172 # wordpress sniffer ?author=1
deny from 115.28.71.161 # (returning) wordpress sniffer
deny from 46.119.127.129 # (returning) wordpress sniffer
deny from 134.249.54.136 # (returning) wordpress sniffer
deny from 115.28.44.252 # wordpress sniffer
deny from 195.154.199.235 # wordpress sniffer
deny from 31.210.66.210 # wordpress sniffer
deny from 192.95.11.68 # wordpress sniffer
deny from 91.200.12.114 # wordpress sniffer
deny from 94.23.3.191 # wordpress sniffer
deny from 173.208.169.42 # wordpress sniffer
deny from 54.227.228.20 # wordpress sniffer
deny from 5.149.254.109 # wordpress sniffer
deny from 91.200.12.114 # wordpress sniffer
deny from 181.30.39.35 # wordpress sniffer
deny from 46.118.117.16 # wordpress sniffer
deny from 46.119.112.23 # wordpress sniffer
deny from 89.163.144.211 # wordpress sniffer
deny from 201.75.251.234 # wordpress sniffer
deny from 178.137.93.24 # wordpress sniffer
deny from 89.163.144.211 # wordpress sniffer
deny from 54.193.50.10 # wordpress sniffer
deny from 46.118.117.128 # wordpress sniffer
deny from 46.118.115.100 # wordpress sniffer
deny from 117.68.211.83 # wordpress sniffer (50 requests)
deny from 104.207.129.199 # Interspire Knowledge Manager (75 requests in 25 seconden)
deny from 146.185.128.43 # epi server sniffer
deny from 37.139.30.158 # epi server sniffer
deny from 185.35.137.97 # login sniffer
deny from 191.252.1.184 # login sniffer
deny from 180.97.221.32 # joomla hacker
deny from 220.170.158.163 # joomla hacker
deny from 178.162.217.147 # joomla hacker
deny from 104.46.56.185 # magento hacker
deny from 173.208.198.50 # drupal hacker (elfinder)
deny from 173.208.169.42 # drupal sniffer (/?q=user/)
deny from 192.187.101.170 # wiki tiki cms sniffer (calendar)
deny from 192.187.109.42 # (returning) kohana sniffer
deny from 62.210.162.209 # kirby sniffer
deny from 223.74.128.38 # file includer
allow from all