[HaBo]

niedriger noob

Anzeige

Hallo,
Und wiedereinmal spinnt mein Router, ein RT314 von Netgear. Schön langsam könnte ich diese blaue Schande gegen die Wand schmeissen.
Zu meinem Problem:
In meinem Netzwerk befinden sich der Router (192.168.0.1) und 4 Client PC´s(192.168.0.2-192.168.0.5). Auf dem PC 192.168.0.4 läuft ein Apache Webserver, der vom Internet aus erreichbar sein soll. Dafür habe ich am Router unter "Port Forwarding" den Port 80(HTTP soweit ich weiss) eingetragen, er soll zu 192.168.0.4 "weitergeleitet" werden. Wenn ich jedoch von einem anderen PC, ausserhalb des Netzerkes die Internet-IP meines Routers im IE eingebe, komme ich nur zur Passwortabfrage für die Routerkonfiguration, mein Webserver kriegt davon überhaupt nix mit.
Komischerweise finde ich dann in der Log-Datei des Servers solche Einträge:
212.160.20.102 - - [09/May/2002:23:10:17 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -
217.81.0.177 - - [09/May/2002:23:11:05 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b %u53ff%u0078%u0000%u00=a HTTP/1.0" 400 327

Dies zeugt davon, dass es aber irgendwie möglich war vom Internet aus auf den Webserver zuzugreifen, da die IP 212.160.20.102 sicher nicht in meinem kleinen Netzwerk ist.
Was mit solchen "komischen" Anfragen bezweckt wird kann ich mir schon denken, irgendwelche Bugs oder ähnliches ausnutzen, aber was mich echt interressiert ist:
Wie schafft es der Typ mit dieser Anfrage zu meinem Webserver, wenn doch sonst niemand durchkommt???? Gibt´s da irgendeinn Trick, den ich nicht weiss?

grosses thx im Voraus
Noob

Tec

sprich doch mal den Port 80 direkt an, also: IP:80 ( 212.160.20.102:80 ).

niedriger noob

Hab ich schon probiert, es ist egal, welchen Port ich nehme.
Installiere ich einen FTP Server, kann ich ihn auch nicht erreichen. Das selbe passier mit einem kleinen, selbergeschriebenen Chatserver auf Port 1000.
Habe grade die neueste Firmware aufgespielt, hat aber leider nichts geholfen.
Am Montag werd ich mal die Netgear-Hotline (sogar kostenfrei) anrufen, mal sehen was die dazu meinen.

mfg
Noob

sieben

Sieht ein bischen so aus als wuerde der Gateway bereits den Port 80 verwenden um dir seine Konfiguration zugaenglich zu machen. Dies hat dann natuerlich mehr Prioritaet als das forwarding. Ich kenne das Modell nicht, aber das einfachste waehre vermutlich die Gateway-config auf einen anderen Port zu legen oder gar nicht erst ueber das unsichere Device zugaenglich zu machen.

__________________
Diese Zeile ist reserviert für Clark Kent.

niedriger noob

So das Teil forwardet jetzt so halbwegs korrekt, nachdem ich ein neue Firmware aufgespielt und das Gerät auf "0" zurückgesetzt habe. Laut Hotline kann das an irgendwelchen Packetfiltern gelegen haben, die werkseitig nicht ganz korrekt eingestellt sind.

Aber eine Frage habe ich noch.
Seit mein Webserver wieder "online" ist, ist meine Log-Datei voll mit lauter Schrott. Ich weiss zwar, dass dieser "Schrott" irgendwelche Überläufe oder Ähnliches bewirken soll, aber wie genau geht das und in wie fern ist mein Apache Server durch sowas gefährdet??
Einen kleinen Ausschnitt der Logsatei habe ich auf Webspace eines Freundes geladen. Zu finden ist das hier

thx im Voraus
Noob

sieben

Da hat nur jemand einen vulnerability scanner laufen lassen und ein paar merkwuerdige Anfragen an den Server geschcikt die im grossen und ganzen aber unproblematisch sind sofern du alle bugfixes installiert hat. So auffaellig in den Logs zu erscheinen ist Kiddy-like. :-)

__________________
Diese Zeile ist reserviert für Clark Kent.

niedriger noob

Ich hab lediglich eine Installation des Apache V 1.3.24 mit PHP Version 4.1.2, Bugfixes hab ich eigentlich noch nicht oben(ausser dem neuesten Win2K-Servicepack, sofern man das als Bugfix bezeichnen kann), welche sollte ich denn haben??
Ich hab mal gehört, dass diese "Anfragen" für den IIS nicht so unproblematisch sein sollen, ist da was dran?
Wo kann ich mehr über diese Vulnerability-scanner erfahren?? Suche nur ein bisschen Dokumentation oder Beschreibung, keine Downloads.

mfg
Noob

sieben

Klingt einigermassen aktuell.

IIS bringt out of the box einige Probleme mit sich, die sich aber durch entsprechende Bugfixes beheben lassen. Bisher haben jedoch fast alle httpd's irgendwelche Probleme gehabt. Auch Perl, PHP, MySQL etc. sollte man zwingend auf dem laufenden halten. Und selbst die Scripten die man einsetzt sollten up2date sein.

Google ist dein Freund. ;-)

__________________
Diese Zeile ist reserviert für Clark Kent.