Meine Werkzeuge
User menu

Firewall-Schutz

Aus Domain-Offensive - Wiki

Wechseln zu: Navigation, Suche

Um die Sicherheit für Ihre Projekte zu erhöhen, blockiert unsere Firewall den Zugriff von unseren Webhosting-Servern zu einem externen Server.

Die notwendigen externen Verbindungen für alle gängigen CMS-, Blog- und Shopsysteme (Wordpress, Joomla, Magento, etc.) wurden von uns freigeschaltet, sodass es i.d.R zu keinen Problemen Ihrer Projekte kommen sollte.

Bei speziellen, eigenen Lösungen oder auch Angriffen aus dem Webspacepaket, können IP-Adressen von der Firewall blockiert werden. In dem Fall erhalten Sie eine E-Mail von unserem System mit der IP-Adresse die blockiert wurde.

Wie Sie selbstständig feststellen können, ob es sich hierbei um eine gewollte Verbindung Ihrerseits handelt, erfahren Sie in den nachfolgenden Punkten.

Whois der IP-Adresse prüfen

Ip whois mail.PNG

Ripe whois.PNG
In der E-Mail erhalten Sie einen Link, der die Whois-Daten der genannten IP bei der RIPE (Verwaltungsstelle der IP-Adressen) ermittelt. Anhand dieser können Sie den Inhaber der IP-Adresse abfragen.

Die meisten großen Firmen wie z.B Google, Amazon, etc. sind hier direkt als Inhaber eingetragen; wobei wir diese meist in unserer globalen Whitelist führen. Wenn Sie hier also den Hersteller Ihrer Software, Plugin o.Ä. identifizieren können, können Sie die IP-Adresse über den Link in der E-Mail freischalten. Eventuell sollten Sie vor der Freischaltung mit Inhaber der IP-Adresse klären, welche Daten an diesen übermittelt werden.

Script anhand von Logs ermitteln

Die Ermittlung über den Whois der IP-Adresse (wie oben genannt), führt leider eher selten sofort zum Ergebnis, sodass weitere Recherche notwendig ist.

Access log.PNG
In Ihrem FTP-Zugang Ihres Webspacepakets finden Sie unter dem Verzeichnis /log eine Zugriffs-Log (access_log). Meist ist es nötig diese Datei auf den Computer herunter zu laden, da diese zu groß ist um Sie online zu öffnen.

Anhand des Datums des versuchten Zugriffes können Sie die Suche in der Zugriffs-Log (access_log) zeitlich eingrenzen und gezielter vorgehen. Das Datum für den Zugriff, finden Sie in der Mail "Firewall-Schutz: ausgehender Zugriff Ihres Webspacepakets unterbunden". Das mögliche Script finden Sie hinter "GET"; wir müssen an dieser Stelle jedoch darauf hinweisen, dass es keine Garantie gibt, dass Ihr Ergebnis wirklich das Script ist, welches den externen Zugriff versucht. In diesem Scripte könnte es zu Einbindungen anderer Scripte kommen, welche wiederum andere Scripte einbinden, welche dann den externen Zugriff verursachen und dann nicht in der Zugriffs-Log (access_log) erscheinen. Bitte beachten Sie, dass es sich bei der IP-Adresse aus der Log nicht um die IP-Adresse handelt die geblockt wurde, sondern um die IP-Adresse von demjenigen diese Datei aufgerufen/angefordert wurde.

Weitere Handgriffe

Viele Webserver sind so konfiguriert, dass unter der IP-Adresse eine Webseite aufgerufen wird. Mit Glück wird so ggf. die Webseite Ihres bekannten Software-Partners aufgerufen und Sie können die IP-Adresse direkt freischalten. Allerdings empfehlen wir dieses nur für fortgeschrittene Benutzer, da sich hinter der IP auch ein Server mit Schadsoftware verbergen könnte.

Robtex hosts.PNG
Auf Nummer sicher, können Sie wiederum über das Online-Tool Robtex (https://www.robtex.com/) gehen.

Dieses stellt Ihnen verschiedene Informationen zur gesuchten IP-Adresse bereit. Spannend sind die Hostnamen die zu der IP-Adresse gefunden werden. Ggf. ist Ihnen einer der dort gefunden Hostnamen bereits bekannt?

Geben Sie oben-links auf der Webseite die IP-Adresse ein und klicken auf "go". Ihnen werden verschiedene Suchergebnisse angezeigt. Klicken Sie auf das erste Suchergebnis (IP info about ...). Unter den Punkt "NB" werden Ihnen die Hostnamen zu der gesuchten IP angezeigt.

Robtex malsearch.PNG
Wenn Sie Zweifel haben, können Sie auf den Hostnamen klicken. Über ein neuen Tab erfolgt eine weitere Prüfung inkl. einer Analyse ob der Hostname bereits negativ aufgefallen ist.