Angriffe über Apache analysieren

Powie

Powie

Registered User
Auf einem Server sind uns extreme Angriffe aufgefallen welche darauf abzielen zu versuchen einen rootkit einzuschleussen. Das ganze sieht verstärkt so aus das wir die folgenden Einträge im Apache Error Log finden:

Code: 
sh: fetch: command not found
sh: wget: command not found
sh: wget: command not found
Can't open perl script "/tmp/css.log": No such file or directory
sh: curl: command not found
Can't open perl script "/tmp/css.log": No such file or directory

Aus einem anderen Thema kennen wir das schon, dies ist ein uralter Rootkit Installer:

wget hack prevention

Gefunden in der .conf # # wget-hack prevention # RewriteEngine on RewriteCond %{HTTP_USER_AGENT} ^LWP::Simple RewriteRule ^/.* http://%{REMOTE_ADDR}/ [L,E=nolog:1] Was bezweckt das?
serversupportforum.de serversupportforum.de

Die Maschine ist ein Debian 5.

Ich vermute, wobei "vermuten" untertrieben ist, der Angreifer nutzt eine Lücke in einem php oder Perl Script auf einem Kunden Web. Diese jedoch zu finden war bisher nicht möglich.

Wie würdet ihr vorgehen um das Loch zu finden?
 
Ich würd zuerst mal nach zeitlich korrellierenden Einträgen in der Apache access_log suchen.
Dort sollte dann u.U. auch das Skript zu sehen sein, von welchem aus versucht wurde wget zu nutzen.
 
ich hatte da schon mal etwas geschrieben hier im Forum unter:

kompromittierter Server?

Hi, auch ich habe heute von Strato einen Hinweis bezüglich meines V-Servers bekommen: Ihr Server blabla.stratoserver.net hat in den letzten Stunden in unserem Monitoring ein auffälliges Verhalten aufgewiesen. Wir vermuten daher, dass Ihr Server kompromittiert ist. Aha. Naja. Dann...
serversupportforum.de serversupportforum.de

Man muss auf jeden Fall noch den Server insbesondere die Access-Logs nach RFI und LFI oder SQLi suchen.
 
schnoog said:
Ich würd zuerst mal nach zeitlich korrellierenden Einträgen in der Apache access_log suchen.
Dort sollte dann u.U. auch das Skript zu sehen sein, von welchem aus versucht wurde wget zu nutzen.
Click to expand...

BINGO !!!

Beispiel:
Code: 
61.94.46.32 - - [05/Feb/2011:09:23:13 +0100] "GET /jonastal_shop/images/read.php?x=img&img=ext_diz HTTP/1.1" 200 1027 "http://www.xxx.de/shop/images/read.php" "<? system($_GET['cmd']); ?>"
61.94.46.32 - - [05/Feb/2011:09:23:13 +0100] "GET /jonastal_shop/images/read.php?x=img&img=small_dir HTTP/1.1" 200 498 "http://www.xxx.de/shop/images/read.php" "<? system($_GET['cmd']); ?>"
61.94.46.32 - - [05/Feb/2011:09:23:13 +0100] "GET /jonastal_shop/images/read.php?x=img&img=ext_php HTTP/1.1" 200 1125 "http://www.xxx.de/shop/images/read.php" "<? system($_GET['cmd']); ?>"
61.94.46.32 - - [05/Feb/2011:09:23:13 +0100] "GET /jonastal_shop/images/read.php?x=img&img=ext_lnk HTTP/1.1" 200 572 "http://www.xxx.de/shop/images/read.php" "<? system($_GET['cmd']); ?>"
61.94.46.32 - - [05/Feb/2011:09:23:13 +0100] "GET /jonastal_shop/images/read.php?x=img&img=change HTTP/1.1" 200 290 "http://www.xxx.de/shop/images/read.php" "<? system($_GET['cmd']); ?>"

Ein "ASBACH URALT" osCommerce
 
You must log in or register to reply here.
Back
Top