Moodle-Sicherheitsproblem!

Cgsman · 28. Januar 2021 um 08:51

Hallo,

habe heute eine beunruhigende Zeile in meinen Logs gefunden:

[php7:error] [pid 12953] [client 31.202.248.70:47581] script '/usr/share/moodle/admin/config.php' not found or unable to stat

Was meint Ihr dazu ?
Vor allem die davorstehende IP als client macht mir Sorgen…

Gruß Christoph

MirDochEgal · 28. Januar 2021 um 09:18

Hallo Christoph,

das ist einigermaßen normal. Sämtliche Systeme werden standardmäßig und
regelmäßig auf bekannte Sicherhetislücken abgeklopft.

Dies passiert in der Regel vollautomatisch und ist, solange man keine
Sicherheitslücken hat, weder schlimm noch ungewöhnlich.

Warum dir gerade diese IP Sorgen macht ist mir übrigens nicht klar?

Grüße
Björn

Bellm · 28. Januar 2021 um 11:40

Ist bei meiner Nextcloud genauso. Da wird auch regelmäßig versucht die config files abzurufen.
Da wird darauf gehofft, dass der WEbserver mal aufgrund Fehkonfiguration die Datei ausliefert und man sich daran weiter im System vorarbeiten kann.

Sicherheitslücke nein, ist eher was für fail2ban. Da habe ich aber nur das Jail für ssh aktiviert.

liv_uo · 28. Januar 2021 um 12:46

Hallo @All,

Sehe ich genauso.
VG Andre

irrlicht · 28. Januar 2021 um 14:13

Vermutlich weil der Aufrufer vermeindlich in der Ukraine zu sitzt.

In der config.php steht das Datenbankpasswort und wenn der Webserver grottenfalsch konfiguriert ist, kann man diese Datei damit auslesen/runterladen und wenn der MySQL-Server dazu noch falsch konfiguriert ist und auf dem externen Interface anstatt nur auf localhost lauscht, lassen sich so per mysqldump die ganzen Datenbanken zur weiteren Auswertung in die Ukraine dumpen…vermeintlich Ukraine.
Vermeintlich, da die Geolokalisierung schon lange nicht mehr funktioniert und selbst Werkzeuge wie mtr werden da vollkommen verarscht.
Durch shodan lassen sich Listen mit Moodleinstallationen erzeugen, ein Bot probiert das durch und wenn da was geht, schaut sich das ein Mensch an und es gibt viele grottenschlecht installierte Server. Ihr muesst nicht davon ausgehen, dass nur Debian und Ubuntu genutzt wird, es gibt tausende wild zusammengefickte Systeme, die keiner hegt und pflegt.

shodan kommt bei meinen Servern taeglich mindestens einmal am Tag vorbei und schaut nach Neuigkeiten.
Gruss Harry