Webserver gesperrt wegen Scans

Status
Not open for further replies.
A

AndreasN

New Member
Hallo zusammen,

mein Webserver wurde gerade gesperrt da er offensichtlich Netze scannt und dadurch hohen Traffic verursacht..
Ich habe jetzt 2 Stunden über ein Fernwartungstool die Möglichkeit mir diverse Log-Dateien anzuschauen um rauszufinden wie sowas passieren konnte. Habt ihr mir einen Tipp wonach ich da suchen kann?

Anbei das Traffic-Protokol:

Code: 
###################################################################
# Netscan detected from host 78.46.91.3 #
###################################################################


time src_ip dest_ip:dest_port
-------------------------------------------------------------------
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.0: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.1: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.2: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.3: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.4: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.5: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.6: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.7: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.8: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.9: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.10: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.11: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.12: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.13: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.14: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.15: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.16: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.17: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.18: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.19: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.20: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.21: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.22: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.23: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.24: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.25: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.26: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.27: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.28: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.29: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.30: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.31: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.32: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.33: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.34: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.35: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.36: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.37: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.38: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.39: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.40: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.41: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.42: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.43: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.44: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.45: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.46: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.47: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.48: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.49: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.50: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.51: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.52: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.53: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.54: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.55: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.56: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.57: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.58: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.59: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.60: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.61: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.62: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.63: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.64: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.65: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.66: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.67: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.68: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.69: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.70: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.71: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.72: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.73: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.74: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.75: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.76: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.77: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.78: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.79: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.80: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.81: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.82: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.83: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.84: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.85: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.86: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.87: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.88: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.89: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.90: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.91: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.92: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.93: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.94: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.95: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.96: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.97: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.98: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.99: 80
 
Am besten in den Logfiles nachsehen, ob sich jemand Zugriff auf den Webserver verschafft hat. Entscheidend sind hier das Access.log und das error.log von Apache und das auth.log. Ausserdem kann auch messages oder syslog interessant sein.
Des weiteren könntest du mal im /tmp Ordner nachsehen, ob hier Dateien zu finden sind, die da nicht hin gehören.
 
Ich habe jetzt ein s.g. LARA-Fernwartungstool vom Hoster zur Verfügung gestellt bekommen. Eigentlich dachte ich, dass ich mich damit auf dem Webserver einloogen kann. Allerdings komme ich da nur auf eine Seite drauf wo ich nicht wirklich was machen kann. :(


EDIT:
Hab es jetzt geschafft mich auf dem Webserver einzuloggen. Leider mache ich gerade Urlaubsvertretung für den Typen der den Webserver eigentlich wartet und habe um ehrlich zu sein davon nicht so wirklich Ahnung. In welchem Verzeichnis liegen diese o.g. Log-Files ? :o
 
Last edited by a moderator:
Hm... da war ich schon.

Dateien lässt man sich doch unter Linux mit cat anzeigen, oder?

cat access.log

Da sagt er mir, dass es diese Datei nicht gibt.

Ich kann mir auch mit ls den Verzeichnisinhalt nicht auflisten lassen.
Sehr seltsam.
 
Es müßte eigentlich:

more ./access.log

nano ./access.log

vi ./accesslog

du mußt sehen, ob nano installiert ist.

Gruss Alex
 
Hi,
mit cat kannst du dir Dateien anzeigen. nano / vi sind eigentlich zum Bearbeiten.

Aber der access.log liegt vielleicht auch in einem Unterordner oder in den Webverzeichnissen ( bsp. /var/log/apache2/ oder /var/www/kunde1/log oder sowas )

Warum kannst du dir die Verzeichnisstruktur nicht angucken? Wenn du mit cd in /var/log wechselst, kannst du dir das doch angucken, oder hast du einen falschen User, der nicht berechtigt ist?

Mit freundlichen Grüßen
Flobbie
 
Status
Not open for further replies.
Back
Top