Dit is zeer waarschijnlijk een botje die hele IP ranges van het internet scanned op standaard lekken. Toevallig was jij aan de beurt. Deze lekken zijn vaak bekende lekken en kan je op verschillende websites terug vinden. Vaak wordt hier een script van gemaakt met alle exploits van bijvoorbeeld een heel jaar/maand/week. Dit Zodat de hackers (scriptkiddies) geen moeite hoeven te doen om een vatbare server te vinden.

Niks om je druk over te maken, zolang de web applicatie die je host maar up-to-date is.

Hi,

Het lijkt er op als of je gebruikt maakt van phpAlbum, hier zit een remote command execution in, zie de volgende link:

http://blog.spiderlabs.com/2011/12/honeypot-alert-phpalbum-php-code-execution-attacks.html

Vermoedelijk proberen ze (of hebben ze) een poc.php script kunnen uploaden, die in de laatste regel wordt uitgevoerd. Probeer de poc.php op de webserver te vinden en bekijk wat het doet. Je zou de inhoud hier ook wellicht kunnen plaatsen zodat we precies kunnen zien wat het doet.

Gr, 0xDC

Typisch een brute force HTTP scanner a la Nikto of Burp Suite. Gewoon zorgen dat je CMS en scripts up-to-date zijn, dan loop je niet heel veel gevaar.

En met fail2ban geinstalleerd kan je ze ook nog eens heel makkelijk automatisch blokkeren.

"Niks om je druk over te maken, zolang de web applicatie die je host maar up-to-date is."

Ooit gehoord van 0day vulnerabilities ? Een up-to-date applicatie kan wel degelijk kwetsbaar zijn, het vermindert enkel het risico.

Dat is geen juiste conclusie. Die scanners proberen namelijk gewoon alle URL's uit hun database. Of je de bepaalde applicatie nou geinstalleerd hebt of niet.

Tuurlijk 0Day vulnerabilities.. Als jij je daar ook tegen zou willen beschermen zou je Fail2Ban kunnen installeren wat anoniem ook al zegt @ 11:49. Met diverse custom regular expressions is het mogelijk om dat soort scripts te blokkeren.

Let wel! ook dat is geen oplossing voor 0Day vulnerabilities maar je doet in ieder geval je best!

Zo'n vermoeden heb ik ook. Nikto of Nessus (dat zijn wel de populairste).

(ik ben de TS)
Het is 1 aanval vanaf 1 IP. Ik maak me geen zorgen over de aanval op zich - de server is goed beschermd, mijn vraag is welke hack/security tool zoveel GET's stuurt. Dat het een tool/script is weet ik al, maar welke precies?