Script Kiddie

[Thorsten]

Hallo!
Ist bei anderen vServer Kunden von Server4You auch dieser Witzbold aktiv?

195.62.20.13 - - [19/Jun/2006:17:49:15 +0200] "GET /phpmyadmin/index.php?lang=en-iso-8859-1&server=1 HTTP/1.0" 200 12332 "-" "User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
195.62.20.13 - - [19/Jun/2006:17:49:35 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=xavier HTTP/1.0" 302 - "-" "User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
195.62.20.13 - - [19/Jun/2006:17:49:45 +0200] "GET /phpmyadmin/index.php?lang=en-iso-8859-1&server=1 HTTP/1.0" 200 12332 "-" "User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
195.62.20.13 - - [19/Jun/2006:17:50:21 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=letmein HTTP/1.0" 302 - "-" "User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
195.62.20.13 - - [19/Jun/2006:17:50:40 +0200] "GET /phpmyadmin/index.php?lang=en-iso-8859-1&server=1 HTTP/1.0" 200 12332 "-" "User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
195.62.20.13 - - [19/Jun/2006:17:51:10 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=sexy HTTP/1.0" 302 - "-" "User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"

IP gehört zu cfmx.de. Allerdings ist der nette Herr als Admin-C, Tech-C und Zone-C eingetragen. Kann mir mal jemand seinen Uplink bzw. Provider heraussuchen?

mfG
Thorsten

 

[Firewire2002]

Würde sagen das is http://comtrance.net/

 

[tty0]

vs123456:/var/log# grep -V
grep (GNU grep) 2.5.1

Copyright 1988, 1992-1999, 2000, 2001 Free Software Foundation, Inc.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

vs123456:/var/log# grep -ir 195.62.20.13 *|wc -l
0
vs123456:/var/log#

 

[Thorsten]

Hallo!

vs0815: /var/log# grep -ir 195.62.20.13 *|wc -l
834

mfG
Thorsten

 

[djrick]

Hehe....
Wie gut dass mein PHPMYADMIN Passwort "12345" ist, da kommt der nie drauf

 

[Sazuko]

Bohr ihr haut euch hier die Codes um die ohren, lasst die unkommentiert und versteht mal locker was abgeht... übersteigt mich alles ein wenig xD .

 

[Mercenary]

übersteigt mich alles ein wenig xD .

Lass Dich nicht ins Boxhorn jagen; "man" ist Dein Freund ... Wie das meiste was Informationen in lesbarer Form aufbereitet.
man grep
man wc
und dann noch die Tatsache, dass die zwei sich in /var/log tummeln.
Et voilá.

Ciao,
Mercy.

 

[Thorsten]

Hallo!
Also es scheint sich um eine Kunden von CFMX zu handeln. Ich habe den Provider informiert und um Beseitigung gebeten. Ich gebe ihm 48 Stunden - ansonsten soll sich sein upstream der Sache annehmen.

PS : Server Load bei 1.5 - 2.5

mfG
Thorsten

 

[h75]

Bei Keyweb hatte ich zu sowas auch mal nen Ticket geschrieben. Da hatte man mir dann das geantwortet.

das einfachste wäre vermutlich die IP per Iptables auf Ihrem Server zu blocken.

iptables -A INPUT -s xx.xx.xx.xx -d 0/0 -j DROP
iptables -A INPUT -s xx.xx.xx.xx -d 0/0 -j DROP

MfG,

darauf habe ich dann nochmal nachgefragt und diese Antwort bekommen.

Hallo,

erlaubt ist dies sicherlich nicht unbedingt. Man kann dem Kunden direkt wahrscheinlich auch keine böswillig Absicht unterstellen. Vielmehr ist er selber evtl. auch Opfer eines Angriffs (Hack) geworden und so zieht sich das durch. Die eigentlichen Verursacher wird man leider nie finden. Wirklich etwas dagegen tun, ausser die IPs zu blocken, kann man auhc nicht. Ich werde aber den Kunden aus unserem Netz informieren.

MfG

Da gings auch um nichts anderes als um einen Server der nach PhpMyAdmin sucht...

 

[Thorsten]

Hallo!
So wie es im Moment aussieht hat der Provider bereits reagiert. Keine weitere apache Zugriffe mehr.

mfG
Thorsten

 

[tty0]

Wie ihr schon herausgefunden habt ist die IP aus dem Adressrange von CFMX. CFMX hat eine Colocation bei L3 in DUS. Wenn die Zugriffe wieder kommen würde ich mich halt direkt an L3 wenden. Wobei die auch normalerweise die IP nicht sperren sondern den Abuse erstmal wieder an CFMX routen und wenn diese nix tun wird L3 einschreiten.

 

[Thorsten]

Hallo!
So, nun ein letztes Update. Der Geschäftsführer von CFMX hat sich bei mir gemeldet. Das Script wurde ausfindig gemacht und deaktiviert. Also was abuse Meldungen angeht: Daumen hoch für CFMX.

mfG
Thorsten