Mojn, Max Dittrich wrote: > On 11/19/2002 7:39 PM, Marius-Dieter Noetzel wrote: > > ich habe seit gestern sehr komische lOgeintraege in der Access_log > > > > marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] "\xe3<" 501 - > > "-" "-"
[snip] > > Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind. > > Leider finde ich beim google'n auch nichts brauchbares. > > Andere Admins �haben von diesen Eintraegen noch nichts bemerkt. > > Komisch ist das allerdings schon, da auf dem Server hier eigentlich > > garnichts laeuft. > > Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der > > Server auch nicht sehr lange. > > nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings > > praktisch nur dyn. t-online ips zu sein die hier anfragen. > > Sch�n wenn Du investigative Instrumente einsetzt - Du scheinst ein > Forschergeist zu sein. Vielleicht m�chtest Du Dich mit deinem > Lieblingssniffer auf die Lauer legen (tcpdump -s 0 -w > /tmp/strange_req.dump -c 10000 port 80 ) und entdeckst einen neuen Wurm > oder �hnliches Ungeziefer. Die Ausgabe des Dumps w�re interessant, > allerdings scheint das in keinerlei Hinsicht ein HTTP-Request zu sein. > > BTW l�uft der Apache auf dem gemeinen Port 80, unter einer festen IP? OK, beim letzten mal war es daf�r zu sp�t, aber ich habe dieses Ph�nomen jetzt noch 2 weitere male erlebt, das letzte mal ist gerade noch voll im Gange. Die Daten dazu findet ihr unter: http://pc16154.pharmazie.uni-marburg.de/apache/ Das komische ist, das tritt nur zu Hause auf meinem Serverchen mit dynamischer IP und DSL-Flat �ber T-Online auf. Auf den anderen 8 Webservern, die ich administriere, habe ich s�mtliche Logs der letzten 12 Monate durchgegrept und auch nicht einen einzigen entsprechenden Eintrag gefunden. In #freebsd.de habe ich jemanden getroffen, der beim 2. mal zur selben Zeit das gleiche Ph�nomen hatte, ebenfalls mit DSL �ber T-Online. Der vermutete damals, da� es vielleicht mit dem dyndns-Update zusammenh�ngen k�nnte, aber ich konnte bei mir keinerlei Hinweis auf einen derartigen Zusammenhang entdecken (ich benute auch den dyndns). Ich habe mal gegoogelt, aber habe nix gefunden, was darauf so direkt pa�t. Alle Exploits, die ich gefunden habe, enthielten den String \xe3 nur als kleinen Teil (z.B.: http://www.securiteam.com/exploits/5VP0L0U7FM.html oder http://packetstormsecurity.nl/0209-exploits/apache-linux.txt). Aber vielleicht k�nnen die Experten ja aus dem tcpdump erkennen, da� auch hier der String nur ein Teil ist, mir sagt das leider nix. Ich frage mich nur, wenn es sich um einen der normalen Apache-Exploits handelt, wieso sollte das dann ausgerechnet auf Homeuser mit dynamischen IPs ausgerichtet sein, wo doch Server mit fester IP und Anbindung viel interessanter w�ren? Der einzige vern�nftige Grund, der mir plausibel erscheint, w�re, da� Rechner zu Hause vielleicht allgemein schlechter administriert werden. Gru� Dirk
