eigenartige Log Einträge

S

sligger

Registered User
Hi,

weis einer von euch was diese Abfragen auf dem Server bezwecken sollen?

HTML: 
218.249.113.170 - - [11/Feb/2007:15:03:23 +0100] "GET http://www.ebay.com/ HTTP/1.1" 302 282 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
218.249.113.170 - - [11/Feb/2007:15:33:41 +0100] "GET http://www.yahoo.com/ HTTP/1.1" 302 284 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
 
Last edited by a moderator:
Hallo!
Mir fällt da spontan nur ein Proxy ein. Eventuell ein Proxy Modul auf deinem Apache aktiv?

mfG
Thorsten
 
Ich habe ein ähnliches Problem; häufig finde ich Eintragungen wie folgende. Was bedeutet denn das ? Im php-Forum ist nie was geändert. Für meil benutze ich kein proxy, jedoch das relais smtp vom Provider überdas ich alles ausgehen lasse. Sonst ist bei mir u.a. webmin installiert, was ja teilweise als proxy funktioniert.


87.242.98.93 - - [11/Feb/2007:12:25:26 -0300] "POST /phpBB2/profile.php HTTP/1.0" 200 12461 "-" "-"
.....
85.25.6.58 - - [11/Feb/2007:16:06:19 -0300] "CONNECT 217.172.181.58:6667 HTTP/1.0" 405 235 "-" "-"
85.25.6.58 - - [11/Feb/2007:16:06:19 -0300] "POST http://217.172.181.58:6667/ HTTP/1.0" 200 4079 "-" "-"
 
@blob deines leitet auf port :6667 das ist ein irc standart Port.
eventuell ein BNC laufen oder sonstige IRC Anwendungen ?
 
Auf 6667 läuft bei mir im Prinzip irc / Unreal . Aber durch deine Frage habe ich gerade gesehen, daß das nicht richtig funktioniert, vielmehr startet hier erst ein Programm bitlbee , was den port besetzt sodaß Unreal nicht richtig startet. Das ist eins von den häßlichen Programmen die zu nichts taugen, nur stören, und trotz Abstellen immer wieder kommen, scheinbar von einem von denen die nicht richtig programmieren können gemacht; ich lösch jetzt mal direkt das ausführbare Programm davon um es endlich ganz loszuwerden

Nachtrag: OK, bitlbee ganz gelöscht, kppp mit allen dranhängenden Servern usw neugestartet, mein irc funktioniert jetzt wieder normal :)
 
Last edited by a moderator:
Hallo,

blob said:
POST /phpBB2/profile.php HTTP/1.0" 200 12461
Click to expand...
Aufruf Deines phpBB2. Vermutlich ein Hacker, weil normale User HTTP 1.0 praktisch nicht mehr nutzen. Er hat wohl versucht, durch Übergabe präparierter Daten etwas zu tricksen. Welche Daten übergeben wurden läßt sich nicht mehr feststellen. Problemlos wenn Boardsoftware stets aktuell.

CONNECT 217.172.181.58:6667 HTTP/1.0" 405 235
Click to expand...
Versuch einer Proxynutzung mit einer Aufrufart, die ausschließlich ein Proxy versteht, da keiner aktiviert ist, wird korrekt mit 405 "Method not Allowed" abgewiesen.

POST http://217.172.181.58:6667/ HTTP/1.0" 200 4079
Click to expand...
Versuch einer Proxynutzung via Post-Methode. Da kein Proxy aktiviert ist macht Dein Webserver daraus eine normale Post-Abfrage an Deinen Server (also nicht wie eigentlich gewünscht an den 217.172.181.58) und gibt Deine Startseite zurück. Problemlos.

@sligger: da probiert einer aus, ob auf Deinem Server ein Proxy läuft.
 
Last edited by a moderator:
Ah, danke, dann bin ich ja beruhigt, Meldungen wie die erste kommen nämlich oft vor, mehrfach täglich, aber ich finde nie Änderungen im Forum.

Komisch ist auch, daß scheinbar Dateien gelesen werden, wo eigentlich niemand lesen sollte, und auch ich selbst eine Meldung 404 not found bekomme, wenn ich sie per browser aufrufe, etwa <mein-site>/phpBB2/install1 (jetzt umbenannt, hieß vorher install0, die install-dir vom Forum):

213.240.225.101 - - [11/Feb/2007:19:56:36 -0300] "GET /phpBB2/install0/schemas/mysql_basic.sql HTTP/1.0" 200 91383 "-" "Opera/9.01 (Windows NT 5.0; U; en)"
213.240.225.101 - - [11/Feb/2007:20:25:56 -0300] "GET /phpBB2/install0/schemas/mysql_basic.sql HTTP/1.0" 200 91383 "-" "Opera/9.01 (Windows NT 5.0; U; en)"

Wie kann denn jemand ggf. Dateien auf meinem Rechner lesen, obwohl für http gesperrt ??
 
Ich weiß nicht, ob du dir die Dokumention deines Forums durchgelesen hast (Will dich doch aber hoffen, wenn du es öffentlich betreibst) - Du sollst diese Ordner löschen. Hier versucht einfach nur wer herauszufinden um du "sauber" gearbeitet hast. Also solange du dies getan hast, kannst du beruhigt schlafen.
 
Gelöscht zwar nicht, aber umbenannt in /install0. Das war auch nur ein Beispiel gerade von vorhin; oft werden beliebige Dateien irgendwo in meinem Rechner gelesen oder zumindest zu lesen versucht; schon daß jemand weiß daß Dateien mit diesen Namen da sind, läßt befürchten, daß irgendwo ein Loch ist, und man zumindest lesen kann wo man will.

(Wenn dies nichts ganz trivial lösbares ist, wiederhole ich die Frage nochmal in einem neuen Thread, und bitte den Threadsteller um Entschuldigung)
 
Ich versuche es jetzt noch einmal. Und Sorry es ist schon spät deswegen Kurzfassung. In der Dokumentation wird nicht umsonst geschrieben, dass man diese Dateien löschen soll, da sie ein Sicherheitsrisiko sind. Deswegen nicht umbenennen, sondern löschen. Warum werden die Bots/etc wohl nach der Datei suchen? Richtig, weil Sie damit Schaden anrichten können. Was machen wir also mit Dateien die Schaden anrichten können? Richtig, wir löschen diese.

Was lernen wir daraus? Dokumentation lesen und die Dateien die wir löschen sollen löschen wir auch. Man es besteht hier gar kein Problem. Solche Scans passieren zu tausenden tagtäglich auf tausenden Servern. Diese Scanner suchen nur danach, ob eventuell diese Dateien vorhanden sind und somit ausnutzbar wären, da du aber die Dok..........

Eigentlich hab ich jetzt noch einmal genau das geschrieben was ich zuvor geschrieben hatte nur anscheinend hast du meinen Post nicht gelsen.

Also noch einmal als Zusammenfassung (Soll auch bei Präsentationen helfen, damit sich Leute wichtige Punkte merken): Dateien die du nicht brauchst: löschen. Dateien die nicht vorhanden sind, können keinen Sicherheitsrisiko mitbringen. Also ignoriere deine Logeinträge (solange Sie mit solchen belanglosen Dingen gefüllt sind und schlafe weiterhin gut).

EDIT: Und kurz ist das jetzt erst nicht geworden :(

Und damit du nicht noch einmal Antwortest und die gleiche Frage noch einmal stellst:
Ja, jemand versucht die Dateien zu lesen, Warum? Ganz einfach: Es gibt Tools die sind weit verbreitet, daher gibt es die Möglichkeit, dass eines der Tools gerade auf deinem Server verwendet wird und um herauszufinden ob so ein Tool bei dir verwendet wird, wird einfach versucht eine Datei davon zu lesen. Und du befürchtest richtig, genau in diesen Dateien sind dann Löcher drinnen, weil warum sollte sonst jemand versuchen die Datei zu lesen?

Und nein du brauchst die Frage nicht noch einmal wo anders wiederholen, weil a) Solche Logeinträge hier schon des Öfteren diskutiert wurden (Boardsuche) und b) es glaube ich niemanden gibt, der noch einmal so ausführlich antwortet.
 
Last edited by a moderator:
Hallo,

blob said:
Komisch ist auch, daß scheinbar Dateien gelesen werden, wo eigentlich niemand lesen sollte, und auch ich selbst eine Meldung 404 not found bekomme, wenn ich sie per browser aufrufe, etwa <mein-site>/phpBB2/install1
Click to expand...

Index of /phpBB2/install1
ergibt bei mir:

Code: 
Index of /phpBB2/install1

    * Parent Directory
    * fissh/
    * index.htm
    * install.php
    * schemas/
    * update_to_latest.php
    * upgrade.php
genau das, was der Hacker will. Warum bei Dir 404 kommt kann ich nicht sagen; welchen Browser verwendest Du?

install1 (jetzt umbenannt, hieß vorher install0)
Click to expand...
den Install-Ordner nach install0 oder install1 umbenennen ist eine ganz geniale Idee, die vor Dir sicher noch nie jemand hatte. :D Scheinbar ist diese Dummheit so häufig, daß die Angreifer gezielt danach suchen!

Wie kann denn jemand ggf. Dateien auf meinem Rechner lesen, obwohl für http gesperrt ??
Click to expand...

Wie sind diese Dateien deiner Meinung nach für http gesperrt?

... schon daß jemand weiß daß Dateien mit diesen Namen da sind ...
Click to expand...

Wie kommst Du auf wissen? Wenn phpbb2 installiert ist, dann sind bestimmte Dateien an bestimmten Stellen, es wird einfach ausprobiert. Bei Dir mit Erfolg, weil phpBB2 installiert, bei mir werden die gleichen Dateien aufgerufen nur ohne Erfolg, weil kein phpBB2 installiert. Die Leseversuche hab ich aber haufenweise in den Logs.

Problematisch wird es erst, wenn Dateien tatsächlich gelesen werden können, die ein Außenstehender nicht lesen können darf, z.B. der Inhalt Deines install1.
 
Last edited by a moderator:
Ach du Schreck ! Mit Konqueror kam die Fehlermeldung, aber mit Firefox kann man den Ordner lesen. Ich habe jetzt die /install überall gelöscht. Aber ich sehe, daß man auch andere Ordner in /phpBB2, etwa /includes, lesen kann, sogar auch mit Konqueror. Ist das schadhaft, oder muß das so sein damit das Forum korrekt benutzt werden kann ?
 
Hallo,

man kann die Dateien nicht lesen, sondern "nur" ausführen (soweit es sich um PHP handelt). Ich hab keine Erfahrung mit pbpBB2, aber würde mich sehr daran stören.

Du kannst Deinem Webserver das DirectoryListing abgewöhnen und zusätzlich index.htm (ohne L) in den DirectoryIndex aufnehmen, dann kann man nicht mehr einfach das Listing aufrufen. Andererseits weiß ohnehin jeder (Hacker) wie die Dateien heißen.

Klick mal /phpBB2/includes/usercp_email.php an, da kommt eine Meldung "Hacking attempt", die kritischen Dateien sind also scheinbar dagegen geschützt, mißbräuchlich aufgerufen zu werden.

Wenn in inludes ausschließlich includierte PHP-Scripts stehen würden, könnte man den Direktzugriff über .htaccess verhindern, leider liegen auch einige JavaScripts drin, deshalb geht es vermutlich nicht.
 
Ich kenne mich nicht so gut aus um zu beurteilen, ob durch den direkten Aufruf der Dateien im Forum Schaden entstehen kann, etwa indem sie mit irgendwelchen Daten auf meinem Rechner ausgeführt werden.

Wenn das so ist, wäre eine Einstellung gut, so daß sie (von wenigen Ausnahmen abgesehen, wie index.html) nicht vom browser direkt sondern nur als Funktion durch das Forum-Programm aufgerufen/ausgeführt werden können
 
You must log in or register to reply here.
Back
Top