Frage zu kleinen Attacken und PHP Limit

D

Domi

Member
Hallo Leute, ich habe da mal eine kleine Frage zum Apache wegen dem Limit (ich tippe auf das PHP Speicher limit) und an zweiter Stelle, zu kleineren SPAM Anfragen oder wie man das bezeichnen soll :D

Fangen wir mal mit dem ersten an.. Ich habe in einem anderen Topic beschrieben, dass ich Piwik Analytics installiert habe, nun meldet der Apache aber folgende Meldung...
Code: 
2013 Jan 15 09:18:10 xxxxxx ALERT - configured GET variable value length limit exceeded - dropped variable '_ref' (attacker 'xxx.xxx.xxx.202', file '/srv/vhosts/xxx.de/httpdocs/piwik/piwik.php')
Ich tippe dabei jetzt mal spontan auf das Speicherlimit von PHP.. sollte man das einfach mal erhöhen, oder sollte man diese Meldung einfach so hinnehmen und sich nichts bei denken.. obwohl es ein "alert" ist?

Das nächste ist eine Anfrage die ich in meinem error.log gefunden habe....
Code: 
[Sun Jan 06 07:29:04 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/muieblackcat
[Sun Jan 06 07:29:04 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/admin
[Sun Jan 06 07:29:04 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/admin
[Sun Jan 06 07:29:05 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/admin
[Sun Jan 06 07:29:05 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/db
[Sun Jan 06 07:29:05 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/dbadmin
[Sun Jan 06 07:29:05 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/myadmin
[Sun Jan 06 07:29:06 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/mysql
[Sun Jan 06 07:29:06 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/mysqladmin
[Sun Jan 06 07:29:06 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/typo3
[Sun Jan 06 07:29:06 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpadmin
[Sun Jan 06 07:29:06 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin
[Sun Jan 06 07:29:07 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpmyadmin
[Sun Jan 06 07:29:07 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpmyadmin1
[Sun Jan 06 07:29:07 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpmyadmin2
[Sun Jan 06 07:29:07 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/pma
[Sun Jan 06 07:29:07 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/web
[Sun Jan 06 07:29:08 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/xampp
[Sun Jan 06 07:29:08 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/web
[Sun Jan 06 07:29:08 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/php-my-admin
[Sun Jan 06 07:29:08 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/websql
[Sun Jan 06 07:29:08 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpmyadmin
[Sun Jan 06 07:29:08 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin
[Sun Jan 06 07:29:09 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2
[Sun Jan 06 07:29:09 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/php-my-admin
[Sun Jan 06 07:29:09 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.2.3
[Sun Jan 06 07:29:09 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.2.6
[Sun Jan 06 07:29:09 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.1
[Sun Jan 06 07:29:09 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.4
[Sun Jan 06 07:29:10 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.5-rc1
[Sun Jan 06 07:29:10 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.5-rc2
[Sun Jan 06 07:29:10 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.5
[Sun Jan 06 07:29:10 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.5-pl1
[Sun Jan 06 07:29:10 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.6-rc1
[Sun Jan 06 07:29:10 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.6-rc2
[Sun Jan 06 07:29:10 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.6
[Sun Jan 06 07:29:11 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.7
[Sun Jan 06 07:29:11 2013] [error] [client xxx] File does not exist: /srv/vhosts/default/httpdocs/phpMyAdmin-2.5.7-pl1
Solche Anfragen kommen ganz gerne mal aus China, Niederladen und eine (genau diese) kam direkt aus dem Rechenzentrum wo auch mein Server steht. Sollte man das einfach als eine Art "echo" hinnehmen, oder sollte man da vielleicht ein ganzes Subnetz (China) aussperren und für den Server aus DE im gleichen Rechenzentrum mal den Provider informieren?

Gruß, Domi
 
Hallo!
Domi said:
..., nun meldet der Apache aber folgende Meldung...
Code: 
2013 Jan 15 09:18:10 xxxxxx ALERT - configured GET variable value length limit exceeded - dropped variable '_ref' (attacker 'xxx.xxx.xxx.202', file '/srv/vhosts/xxx.de/httpdocs/piwik/piwik.php')
Ich tippe dabei jetzt mal spontan auf das Speicherlimit von PHP..
Click to expand...
Das dürfte wohl eher der suhosin Patch für PHP sein. Siehe http://www.hardened-php.net/suhosin/.

mfG
Thorsten
 
Hallo!
Domi said:
Solche Anfragen kommen ganz gerne mal aus China, Niederladen und eine (genau diese) kam direkt aus dem Rechenzentrum wo auch mein Server steht.
Click to expand...
Nicht nur von dort - aber häufig von dort.
Domi said:
Sollte man das einfach als eine Art "echo" hinnehmen, oder sollte man da vielleicht ein ganzes Subnetz (China) aussperren und für den Server aus DE im gleichen Rechenzentrum mal den Provider informieren?
Click to expand...
Der Provider kann nichts dafür und wird auch nichts gegen ein solches abklopfen deines Servers unternehmen. Sorge dafür, dass deine Applikationen keine (bekannten) Lücken aufweisen.

Ganze Länder oder Kontinente auszusperren halte ich persönlich nicht für sinnvoll. Auch aus Deutschland kommen gern mal solche Angriffe - und hier wirst du wohl eher ungern sperren wollen.

mfG
Thorsten
 
So, kommen wir mal auf Suhosin...
Ja, das Paket verwende ich.. und nachdem ich den Ansatz mit Suhosin hatte, habe ich hier im Forum was gefunden :D

Ist also ungünstig von dem Analyse-Tool gebaut, wenn das Teil wirklich mal größere GET Werte verwendet und diesen Alert produziert. :rolleyes:

Thorsten said:
Der Provider kann nichts dafür und wird auch nichts gegen ein solches abklopfen deines Servers unternehmen. Sorge dafür, dass deine Applikationen keine (bekannten) Lücken aufweisen.
Click to expand...
Okay, Lücken habe ich nach meinem besten Gewissen und dem was ich so gefunden hatte an Informationen, geschlossen. Das kann natürlich nicht verhindern, dass jemand einfach versucht einen Ordner meiner URL zu öffnen. Also werde ich damit leben.

Was diese Anfrage aus DE angeht, mein root-Server steht bei 1und1 im RZ und die gepostete Anfrage mit den Errors kommt auch von einer 1und1 IP. Hätte ja sein können, dass man mal Abuse anschreiben kann, dass aus deren Haus mein Server so komisch angesprochen wird... :)
 
Hallo!
Domi said:
Ist also ungünstig von dem Analyse-Tool gebaut, wenn das Teil wirklich mal größere GET Werte verwendet und diesen Alert produziert. :rolleyes:
Click to expand...
Man kann suhosin ja durchaus seinen Bedürfnissen anpassen. Siehe dazu http://www.hardened-php.net/suhosin/configuration.html. Im schlimmsten Fall schaltet man dieses Tool in den Simulationsmodus (http://www.hardened-php.net/suhosin/configuration.html#suhosin.simulation). Hier muss aber jeder Admin selbst entscheiden, in welchem Verhältnis er oder sie Sicherheit vs. Vertrauen auf ein Tool vs. Lauffähigkeit seiner Applikationen bewertet.

mfG
Thorsten
 
Hallo!
Domi said:
Was diese Anfrage aus DE angeht, mein root-Server steht bei 1und1 im RZ und die gepostete Anfrage mit den Errors kommt auch von einer 1und1 IP. Hätte ja sein können, dass man mal Abuse anschreiben kann, dass aus deren Haus mein Server so komisch angesprochen wird... :)
Click to expand...
Ist meiner Meinung nach immer die persönliche Einstufung eines jeden Admis was er unter einem Angriff versteht. Wie oft kommt es bei dir vor? Alle Stunde, alle 5 Minuten oder alle 3 Sekunden.

Wir hatten eine ähnliche (na ja, nicht ganz ähnlich) Diskussion unter:

Automatische Abuses...

Hallo zusammen, ich habe heute wieder eine Abuse-Meldung auf den Tisch gehabt, bei der ich mir nicht sicher bin wie ich dem Beschwerdeführer antworten soll - weil ich mir nicht sicher bin ob ich die Mail falsch interpretiere: Hello Abuse-Team, your Server with the IP: a.b.c.d has attacked...
serversupportforum.de serversupportforum.de

mfG
Thorsten
 
Thorsten said:
Ist meiner Meinung nach immer die persönliche Einstufung eines jeden Admins...
Click to expand...
Okay, da es ja erst zweimal vorgekommen war, sehe ich das jetzt mal nicht als bedrohlich an. Sollte es noch ein paar mal vorkommen, sollte man vielleicht über weiteres handeln nachdenken :)

Die Einstellungen im Suhosin werde ich mir mal genauer zu Herzen nehmen und schauen. Der Alert ist ja meines Erachtens nicht schwerwiegend.., ich vertraue diesem Analyse-Tool einfach mal in der Hinsicht.

Dann werde ich mal gucken, ob man dem Suhosin sagen kann, dass er die Alerts, Infos nicht direkt in der Shell raus schicken soll, sondern lieber in ein Log schreiben soll. Es ist schon doof, wenn man gerade einen Befehl im Putty eintippt und auf einmal kommt "plopp" die Meldung mitten im Screen hoch :D
 
Bei dem Suhosin-Alert solltest Du Dir den entsprechenden GET-Request erstmal genau ansehen. Vermutlich war es nämlich ein Spambot/Scriptkiddy und ist somit kein Grund sich da weitere Gedanken zu machen.


Der Rest ist normales Grundrauschen.
 
Joa, dass sind auch schlecht oder doof programmierte Systeme. Selbst wenn mein Kollege mal einen Artikel im Wordpress schreibt, kommt eine ähnliche Meldung.

Ich habe auch gerade gesehen, dass die Alerts im /var/log/error.log eingetragen werden, was ich aber noch nicht hin bekommen habe ist, dass sie nicht mehr direkt im Terminal auftauchen sondern nur noch im Log stehen.

Ich habe selbst wie hier beschrieben den "suhosin.log.syslog.priority" auf 2 geändert um zu schauen was passiert, aber kein Erfolg. Und auch das Semikolon habe ich entfernt in der "/etc/php5/apache2/conf.d/suhosin.ini" :rolleyes:

Was das andere angeht, auf das "Grundrauschen" bin ich nicht gekommen. Für mich sind das halt normale Echos die dann nicht so trivial sind :D

Nachtrag: Also nachdem ich versucht habe die suhosin.ini anzupassen passierte nichts und nachdem ich versucht habe auch einige Zeilen der Konfiguration in der php.ini einzubauen, tat sich auch nichts und im Putty sieht es bei mir wie folgt aus...
-> http://imageshack.us/photo/my-images/32/putty01.jpg/

Zumal ich ab und an Putty einfach nur offen habe um den Tunnel zur SQL Datenbank aufrecht zu halten. Es wird also nichts gemacht und step-by-step tauchen diese Alerts auf, und ich bekomme sie einfach nicht weg. Sie werden auch in der error.log gespeichert.. das würde auch ausreichen, aber wie bekomme ich sie direkt aus der Bildschirmausgabe raus?
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top