Apache2 komische Ereignisse

elpaulo · Apr 2, 2011

Hallo,
Ich hab in meinem access_log dinge entdeckt, die ich nicht ganz nachvollziehen kann:

Code:

109.230.220.42 - - [02/Apr/2011:22:23:51 +0200] "GET http://98.136.62.171/config/pwtoken_get?login=gatewaytoparadise&src=ygodgw&passwd=8a7bc1c538e7082f00a0ecebcc8be882&challenge=QCpnSPBzGRQbC8LH2ITitmqT8hiE&md5=1 HTTP/1.0" 404 498 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:25:16 +0200] "GET http://66.196.86.194/config/pwtoken_get?login=ginnydunbar&src=ygodgw&passwd=def56410d66fa487f30437efef51d454&challenge=HPdpNUKOGhQNCojlpOdt9Idp7.4A&md5=1 HTTP/1.0" 404 498 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:26:42 +0200] "GET http://119.160.245.59/config/pwtoken_get?login=goldentreasures&src=ygodgw&passwd=3d6662cb14219dde8d4e025bfd13090d&challenge=F..XdmEkGhTG61P7mygqAz_aMraK&md5=1 HTTP/1.0" 404 499 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:28:06 +0200] "GET http://66.196.87.200/config/pwtoken_get?login=graf_is_god&src=ygodgw&passwd=52adf79549e9056ebce767fb6878c874&challenge=tYHNP.t0GhSZajw6NGPsdWZpvlCv&md5=1 HTTP/1.0" 404 498 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:29:32 +0200] "GET http://217.12.8.250/config/pwtoken_get?login=great_white_goldfish&src=ygodgw&passwd=f3128f83fd30c159ba45cd81f8802159&challenge=aN9O02SOGxQ8_CtjGfmlsS6LVhj7&md5=1 HTTP/1.0" 404 497 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:30:53 +0200] "GET http://66.196.86.201/config/pwtoken_get?login=hlmccarthy&src=ygodgw&passwd=3909ad96bc852715824e8c45096d1450&challenge=gfr0bMXeGxQxfyHdbEn.dPhxzfD7&md5=1 HTTP/1.0" 404 498 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:32:17 +0200] "GET http://124.108.121.176/config/pwtoken_get?login=harbor17&src=ygodgw&passwd=b2b600fcc0cf0a926a413baef3392ae5&challenge=MqlM8Ut1GxQWw8emw8TZ2MOoy1QT&md5=1 HTTP/1.0" 404 500 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:33:41 +0200] "GET http://202.89.250.69/config/pwtoken_get?login=hatman97&src=ygodgw&passwd=7ceb3af7079515c5d9632ed2a5eba67a&challenge=rhLu.q2AFBQiRDLbu__tWm.7Kp8g&md5=1 HTTP/1.0" 404 498 "-" "-"
72.67.101.2 - - [02/Apr/2011:22:34:37 +0200] "GET /webdav/ HTTP/1.0" 404 485 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:35:04 +0200] "GET http://68.142.241.128/config/pwtoken_get?login=hitokage_04&src=ygodgw&passwd=bd06a9e70e3adcee981e1733dc1eb22b&challenge=o75VGwLQFBTk.VlnTK0DBMMZAaFT&md5=1 HTTP/1.0" 404 499 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:36:31 +0200] "GET http://66.196.107.226/config/pwtoken_get?login=hottchick_2134&src=ygodgw&passwd=0281c0ebc665486218332e5b2b2b5342&challenge=DVoC9oNvFBSqy.YTmotW2qMTwO_2&md5=1 HTTP/1.0" 404 499 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:37:53 +0200] "GET http://119.161.10.61/config/pwtoken_get?login=ice_babe69&src=ygodgw&passwd=155e1525b7e5454cee70d609570676b8&challenge=1Gir.WK_FRRtkIqTGkEiR20a8qPY&md5=1 HTTP/1.0" 404 498 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:39:15 +0200] "GET http://124.108.120.31/config/pwtoken_get?login=i_got_your_ta_right_here&src=ygodgw&passwd=d43a065298b21426e4f323b111c223e9&challenge=d5MG18_KFRT7bBwaIIsh3ez7KH0p&md5=1 HTTP/1.0" 404 499 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:40:36 +0200] "GET http://217.12.8.111/config/pwtoken_get?login=icy_fun&src=ygodgw&passwd=860ca335aeaff040025f68542d007552&challenge=FwMxIfdhFRSS_D_y7RHfL5pYgqQm&md5=1 HTTP/1.0" 404 497 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:41:58 +0200] "GET http://98.136.62.186/config/pwtoken_get?login=impalermusic&src=ygodgw&passwd=705a12370bbdaf8f729d664363f2f399&challenge=sLZzneKxFhQhLTnRzs0HvnB2m6Ck&md5=1 HTTP/1.0" 404 498 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:43:22 +0200] "GET http://217.146.187.123/config/pwtoken_get?login=jennifer_maze&src=ygodgw&passwd=aaf7f6629bda535b612f22d7bfdb8f7d&challenge=PNPDTv7MFhTBXL364DyPjXRjz2qB&md5=1 HTTP/1.0" 404 500 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:44:45 +0200] "GET http://66.196.107.228/config/pwtoken_get?login=j_chomel&src=ygodgw&passwd=563ee26ed5ff956cc81d819fb99a4ab9&challenge=G9KuQWgcFhRZe3jf_nB8ijYVBrtU&md5=1 HTTP/1.0" 404 499 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:46:08 +0200] "GET http://98.136.62.169/config/pwtoken_get?login=ironprincess_03&src=ygodgw&passwd=66697b2d0fdd89980b6cfcb595331c5f&challenge=6vtjEDCrFxR1u0teGYWFLVbjafGi&md5=1 HTTP/1.0" 404 498 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:47:28 +0200] "GET http://203.209.228.43/config/pwtoken_get?login=jeffrey_carl_ellis&src=ygodgw&passwd=76df4d96844b3d16b2541eec0b80812f&challenge=j2Njstr7FxRHwxAqTzS3kY7oe4uf&md5=1 HTTP/1.0" 404 499 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:48:51 +0200] "GET http://66.196.86.197/config/pwtoken_get?login=jareddude&src=ygodgw&passwd=6431d2c2ab8b1076d64a447556ec5d34&challenge=cPX45hkWFxQ4StN27nvKjANF6JZ.&md5=1 HTTP/1.0" 404 498 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:50:11 +0200] "GET http://119.160.245.64/config/pwtoken_get?login=jhonblaze&src=ygodgw&passwd=de6e6a993c21cc988e986ac0029baf2e&challenge=N1P9ahqmEBRAXOg5j0Vem_DKvozQ&md5=1 HTTP/1.0" 404 499 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:51:32 +0200] "GET http://202.89.250.62/config/pwtoken_get?login=joesar&src=ygodgw&passwd=87289351fcf5877d03bdba38694893f8&challenge=wRedpq72EBTpJnX36wpFmIdlonSR&md5=1 HTTP/1.0" 404 498 "-" "-"
109.230.220.42 - - [02/Apr/2011:22:52:58 +0200] "GET http://217.12.8.35/config/pwtoken_get?login=jonf12&src=ygodgw&passwd=d6ca63398e8d91469e26f33e44a42a82&challenge=HxvEKp0NEBRUTCdL5ekqMkiKqYIG&md5=1 HTTP/1.0" 404 496 "-" "-"

Das sieht irgendwie ungeplant aus.. Sollte ich mir sorgen machen?
(Debian 6, Apache2, Wordpress 3.1)

PapaBaer · Apr 2, 2011

Status 404. Da versucht sich jemand an nem Bruteforce auf Software, die du gar nicht installiert hast.

Grundrauschen

Halt dein Wordpress immer schön aktuell, da sind immer mal Löcher drin.

Edit: Die IP scheint aus der Gegend zu stammen. Da könnte sich ne Abuse-Mitteilung lohnen.

elpaulo · Apr 2, 2011

Das ging heute von 5-21Uhr.
Also nur der alltägliche Angriffs-Versuch?

Code:

109.230.220.42 - - [02/Apr/2011:03:14:45 +0200] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 537 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
109.230.220.42 - - [02/Apr/2011:04:46:50 +0200] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 537 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
109.230.220.42 - - [02/Apr/2011:04:46:50 +0200] "CONNECT www.google.com:443 HTTP/1.0" 200 210 "-" "-"
109.230.220.42 - - [02/Apr/2011:04:46:53 +0200] "CONNECT www.google.com:443 HTTP/1.0" 200 210 "-" "-"
109.230.220.42 - - [02/Apr/2011:05:09:42 +0200] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 537 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
109.230.220.42 - - [02/Apr/2011:05:09:42 +0200] "CONNECT www.google.com:443 HTTP/1.0" 200 210 "-" "-"
109.230.220.42 - - [02/Apr/2011:05:09:42 +0200] "CONNECT mail.messaging.microsoft.com:25 HTTP/1.0" 200 210 "-" "-"
109.230.220.42 - - [02/Apr/2011:05:15:35 +0200] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 537 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
109.230.220.42 - - [02/Apr/2011:05:16:41 +0200] "CONNECT mail.messaging.microsoft.com:25 HTTP/1.0" 200 210 "-" "-"

Sowas kam da auch..

Joe User · Apr 2, 2011

Da versucht jemand ein nicht (mehr?) aktives mod_proxy zum Hacken dritter Websites zu nutzen und bekommt einen Status 404 zurück.
Trotzdem normales Grundrauschen.

unfana · Apr 8, 2011

Wenn du es dir leisten kannst, dafür CPU & I/O zu verschwenden: Ich fühle mich mit "fail2ban" sehr viel sicherer. Die Betonung liegt allerdings auf: dem "ich fühle mich" - nicht auf dem "sicherer"

.

Die besonders häufigen brute-force-Stichworte kannst du so einstellen, dass ein einziger 404 reicht (z.B. .*(setup|confix|mysql|login).* - oder halt je nach Bedarf. Bringt natürlich nicht wirklich etwas, wenn dein Server sowieso bereits "einigermaßen sicher" ist, aber ich finde den Setup viel angenehmer. Da kommen dann immer nur 2-3 Zugriffe pro IP durch und um die schwachen/doofen passörter meiner smtp-End-Benutzer mache ich mir auch viel weniger Sorgen.

virtual2 · Apr 10, 2011

Den Verein namens XSServer.eu kennen wir doch?

Dort wird nicht auf Abuse eMails reagiert, das kannst du gleich vergessen.

Ich hatte vor kurzem mit einem Maschinchen aus dem Netz von diesem Anbieter mehrere Probleme mit Spam Attacken, auf Abuse eMails wurde keine Reaktion gezeigt, das einzige was hilft heißt IPBlock sperren.

Firewire2002 · Apr 10, 2011

virtual2 said:
auf Abuse eMails wurde keine Reaktion gezeigt

Ich kenne zwar den angesprochenen Hoster nicht wirklich, aber das auf Abuse Mails nicht geantwortet wird ist nicht unbedingt als negativ zu bewerten.
Solang die Providerinterne Prozesskette in Gang kommt, reicht das völlig aus. Da Bedarf es keiner Antwort ala "Danke, wir haben ihre Mail gelesen". Denn mehr steht da nie drin.

virtual2 · Apr 10, 2011

Ich meinte damit, dass die spammenden Server noch immer am Netz sind, es passiert einfach nichts.

Firewire2002 · Apr 10, 2011

Und wieviele Abuse Mails hast du bereits für die gleiche IP geschrieben?
Viele Hoster informieren ihre Kunden erst Mal nur. Gehen keine weiteren Beschwerden ein, wird der Kunde in Ruhe gelassen. Was glaubst was passieren würde, wenn jeder Hoster direkt bei der ersten Abuse Mail sofort die Server vom Netz nehmen würde?

Joe User · Apr 10, 2011

Multiple Abuse in kurzer Zeit vom gleichen Admin bewirken im Regelfall ein Ignore, Pausen von ein bis zwei Wochen sind zielführender...

virtual2 · Apr 10, 2011

Ich habe lediglich eine einzige Abuse eMail geschrieben.

Apache2 komische Ereignisse

elpaulo

New Member

PapaBaer

Registered User

elpaulo

New Member

Joe User

Zentrum der Macht

unfana

New Member

virtual2

Registered User

Firewire2002

Registered User

virtual2

Registered User

Firewire2002

Registered User

Joe User

Zentrum der Macht

virtual2

Registered User

We value your privacy