Nach dem Öffnen meines Mailprogramms erwartete mich eben diese kleine Überraschung:

attack

Wieder einmal probiert irgendwer, sich mittels "Directory Traversal Attack" an die '/etc/passwd' Datei des Servers heranzuschleichen, in der Hoffnung, dass
a) irgendwo in meinem Frontend die Variablen aus dem Query-String einfach so ausgegeben werden oder, in diesem Fall, eine Datei, die im "page=" Parameter steht, einfach inkludiert wird (was unerfahrene php-Bastler gerne mal so machen, page=news.php, page=links.php) und
b) dass der Server so doof konfiguriert ist, dass er systemeigene Dateien an den httpd-User ausliefern würde.
Insgesamt also eine ziemlich tumbe Art, zu versuchen, Zugang zu Daten zu bekommen, die im zweiten Schritt den Zugang zum Server selbst öffnen würden.

Aber trotzdem nervig, vor allem, da dieser Kollege hier es andauernd versucht. Damit hat er, bzw seine IP-Adresse, sich gerade einen Platz in meiner Sperrliste verdient, in der ich per .htaccess/mod_rewrite den Zugang zum Blog verbiete. Normalerweise würde man diese und ähnliche Einbruchsversuche nur mitbekommen, wenn man sich das Access- und Error-Log des Servers durchschaut. Seitdem ich das WordPress-Plugin WP Firewall installiert habe, bekomme ich per Mail eine (oder auch mehrere, siehe oben) Benachrichtigungen, wenn da etwas Verdächtiges vorgeht.
Da ich nun also Kenntnis von solchen Versuchen (die hier eh ins Leere gehen würden) bekomme, kann ich ggf. reagieren und die Idioten aussperren. Bei aktiviertem mod_rewrite Modul (nicht jeder Provider lässt das zu, aber wenn Euer Blog mit den "Nice Url" Artikel-Links geht, dann geht meistens auch mod_rewrite) genügt eine Zeile pro böser IP Adresse:

# hackerversuche
RewriteCond %{REMOTE_ADDR} aaa\.bbb\.ccc\.ddd [OR]
RewriteCond %{REMOTE_ADDR} eee\.fff\.ggg\.hhh
#
RewriteRule .* - [F,L]

Die aaa/bbb/ usw ist die IP-Adresse, die geblockt werden soll, wenn es mehrere sind, dann kommt ans Ende jeder Zeile, ausser der letzten ein "[OR]", damit auch die nachfolgenden Zeilen berücksichtigt werden. Wichtig ist, die Punkte in der IP-Adresse mit Backslashes zu escapen, da der Punkt ansonsten als regular-expression Steuerzeichen interpretiert würde.

Da die Bösen Buben auch gerne mal ihre wahre IP Adresse verschleiern und unter falscher Flagge segeln, sollte diese Liste in regelmässigen Abständen geleert werden, weil man sonst harmlose normale Besucher, die zufällig die gefälschte IP benutzen, oder Besucher mit dynamischer IP-Adresse, die jetzt die IP haben, die vorher ein Böser Bube (oder Mädchen) hatte, aussperrt.

Wer mehr darüber wissen will, wie man das Blog absichern kann, sollte unbedingt mal auf blogsecurity.net und bei perishablepress.com vorbeischauen, dort gibt es Tools und Artikel zum Thema.