[HaBo]

Xalon · 11.04.06, 18:18

Hi,
der Server von einem Freund von mir wurde gehackt...
Folgende Anfragen an den Webserver gibt es in der Logdatei,aus denen wir nicht schlau werden :

Code:

xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:04 +0200] "GET /shp/js/'+c.root+c.l[l-1].arrow+' HTTP/1.1" 404 2284
xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:05 +0200] "GET /shp/js/'+c.root+img1+' HTTP/1.1" 404 2274
xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:06 +0200] "GET /shp/js/,txt=m.txt,ev= HTTP/1.1" 404 2271
xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:06 +0200] "GET /shp/js/; if(!bw.reuse&&!nolink) m.txt = HTTP/1.1" 404 2258
xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:07 +0200] "GET /shp/js/; if(!bw.reuse&&!nolink) m.txt+= HTTP/1.1" 404 2258
xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:08 +0200] "GET /shp/js/; if(!bw.reuse){if(!bw.dom) m.txt+= HTTP/1.1" 404 2258
xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:09 +0200] "GET /shp/js/; m.txt+= HTTP/1.1" 404 2258
xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:09 +0200] "GET /shp/js/; m.txt= HTTP/1.1" 404 2258
xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:09 +0200] "GET /shp/js/if(bw.dom&&!nolink) m.txt+= HTTP/1.1" 404 2276
xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:09 +0200] "GET /shp/js/}; m.txt+= HTTP/1.1" 404 2259
xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:11 +0200] "GET ///?C=D;O=A HTTP/1.1" 200 695

Weiß jemand was das bedeutet?

Danke im voraus,
Xalon

**Elderan** · 11.04.06, 19:50

Hallo,
ich Tipp einfach mal auf einen Bot.

Wäre natürlich noch wichtig was in /shp/js/ drinne ist, sonst evt. ein Bot der mögliche Sicherheitslücken austestet.

HaBo Ads

11.04.06, 21:46

Mit meinen bescheidenen Kenntnissen würde ich sagen es war definitiv ein Bot und es wurde nichts gehackt.
Der Bot hat auf eine bekannte Sicherheitslücke in einer Onlineanwendung getestet, dein Server hat jedoch alle Anfragen mit 404 beantwortet also not found. Ein menschlicher Hacker hätte vermutlich nach dem ersten 404er aufgehört ein schlecht programmierter Bot geht trotzdem die ihm einprogrammierte Befehlsreihenfolge durch.
Naja Sorgen machen musst du dir keine da nichts passiert ist und sowas auf einem Webserver normal ist

Xalon · 11.04.06, 22:23

Ähhhm nein der Server wurde definitiv gehackt und das ist uns in den Logs ausgefallen

11.04.06, 22:38

Wenn der Server definitiv "gehackt" wurde dann definitiv nicht an der Stelle. Möglicherweise nicht einmal der Apache sondern ein anderer Server Prozess.
Mit dem Thema Sicherheit unter Linux sollte man sich imho beschäftigen bevor man einen Server mietet

Und wenn du willst das man dir helfen kann solltest du mehr Infos zur Verfügung stellen zB. was du mit "gehackt" meinst.

Xalon · 11.04.06, 22:45

Mehr weiß ich auch nicht ...
Er hat den Server auch nicht gemietet,er hat da nur seinen Space drauf,kennt aber den Admin...
Ich werd ihn morgen nochmal nach mehr Infos fragen...

Xalon

P.S:Hoffentlich antwortet hier noch einer sonst kann ich morgen nur editieren

ERit · 12.04.06, 09:46

http://en.wikipedia.org/wiki/HTTP
http://en.wikipedia.org/wiki/Basic_a...ication_scheme
http://en.wikipedia.org/wiki/Web_server

da müsste denk ich mal alles drin stehn, was man zur suche in den logs benötigt

edit: soviel ich weiß liefert der server "200" für "ok" zurück:

Code:

xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:11 +0200] "GET ///?C=D;O=A HTTP/1.1" 200 695

jetzt müsst nur noch jemand diesen request entschlüsseln

Zero_X · 12.04.06, 12:39

Zitat:

jetzt müsst nur noch jemand diesen request entschlüsseln

Wenn Index-Listing beim Server aktiviert wurde, kann man sich mit so etwas die Files in einer bestimmten Reihenfolge anzeigen lassen (Zum Beispiel nach Datum sortiert).

Xalon · 12.04.06, 12:44

Wie genau meinst des?
Alle Verzeichnisse,auch / ?? oO
Wenn man in google danach sucht dann bekommt man auch lauter Index of Seiten

Xalon

P.S

er Angreifer hats durch BruteForce auf nen anderen Acc geschafft,was für ein Kiddie

Zero_X · 12.04.06, 12:54

Wenn Index-Listing aktiviert wurde und keine index-File in / ist sieht man davon auch den Inhalt

The Dude · 12.04.06, 14:30

Zitat:

Original von Xalon
P.S

er Angreifer hats durch BruteForce auf nen anderen Acc geschafft,was für ein Kiddie

ich wuerd eher sagen was fuer ein schlechtes passwort.

Xalon · 12.04.06, 17:10

Kann ich nicht beurteilen

Naja nochmal ne Frage warum denn
GET ///?C=D;O=A HTTP/1.1
?
Wenn "Index-Listing aktiviert wurde und keine index-File in / ist" sieht man den Inhalt ja so und so !

Xalon

LX · 12.04.06, 17:41

Das hinter dem Fragezeichen sind Parameter für die Sortierung des Directory Listings. Das hat Zero_X aber auch schon erwähnt

Xalon · 12.04.06, 18:08

Echt?Hab ich nicht gesehen.
Mich hats schon gewundert,weil welchem Script wollte er denn die Parameter übergeben?Naja jetzt weiß ichs.
Nochmal Danke an alle

Xalon

EDIT:jetzt seh ichs

**Elderan** · 12.04.06, 19:22

Hallo,
wobei "?C=D;O=A" nach namen Sortiert.

Klick

Dort siehst du ja oben die Links:
Name Last modified Size Description

Nach denen du jeweils die Liste sortieren lassen kannst.
Klickt man z.B. auf "Last modified", so steht als Parameter dort: ?C=M;O=A

Die Parameter bedeuten:
C: Nach was soll sortiert werden. Nach Name Last modified Size oder Description?

Das O steht für: ASC (von A nach Z) und DESC (Z nach A)

Empfehlung

12.04.06, 09:46	#7 (permalink)
ERit Registriert seit: 31.03.05 Likes: 0	http://en.wikipedia.org/wiki/HTTP http://en.wikipedia.org/wiki/Basic_a...ication_scheme http://en.wikipedia.org/wiki/Web_server da müsste denk ich mal alles drin stehn, was man zur suche in den logs benötigt edit: soviel ich weiß liefert der server "200" für "ok" zurück: Code: xxx.xxx.xxx.xxx - - [08/Apr/2006:07:52:11 +0200] "GET ///?C=D;O=A HTTP/1.1" 200 695 jetzt müsst nur noch jemand diesen request entschlüsseln

12.04.06, 12:44	#9 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Wie genau meinst des? Alle Verzeichnisse,auch / ?? oO Wenn man in google danach sucht dann bekommt man auch lauter Index of Seiten Xalon P.Ser Angreifer hats durch BruteForce auf nen anderen Acc geschafft,was für ein Kiddie

12.04.06, 17:41	#13 (permalink)
LX Moderator Registriert seit: 14.02.06 Likes: 21	Das hinter dem Fragezeichen sind Parameter für die Sortierung des Directory Listings. Das hat Zero_X aber auch schon erwähnt __________________ "Ever tried. Ever failed. No matter. Try again. Fail again. Fail better." - Samuel Beckett JS BB LX UP

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Anfragen zu Domain umleiten	Tealk	Network · LAN, WAN, Firewalls	1	01.07.09 19:52
diese Stiefel! ^^	2Bios	Fun Section	18	04.05.06 20:55
Suche möglichkeit alle Ping anfragen nicht zu beantworten	Fir3f0x	Windows	14	16.05.05 20:26
Firewall Log´s was sagt mir diese Log	HighTower	(In)security allgemein	8	17.06.04 10:47
Diese Seite hat ...	Mr.Bit	Fun Section	2	23.11.01 13:13

11.04.06, 19:50	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, ich Tipp einfach mal auf einen Bot. Wäre natürlich noch wichtig was in /shp/js/ drinne ist, sonst evt. ein Bot der mögliche Sicherheitslücken austestet.

11.04.06, 21:46	#3 (permalink)
cr Guest Likes:	Mit meinen bescheidenen Kenntnissen würde ich sagen es war definitiv ein Bot und es wurde nichts gehackt. Der Bot hat auf eine bekannte Sicherheitslücke in einer Onlineanwendung getestet, dein Server hat jedoch alle Anfragen mit 404 beantwortet also not found. Ein menschlicher Hacker hätte vermutlich nach dem ersten 404er aufgehört ein schlecht programmierter Bot geht trotzdem die ihm einprogrammierte Befehlsreihenfolge durch. Naja Sorgen machen musst du dir keine da nichts passiert ist und sowas auf einem Webserver normal ist

11.04.06, 22:23	#4 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Ähhhm nein der Server wurde definitiv gehackt und das ist uns in den Logs ausgefallen

11.04.06, 22:38	#5 (permalink)
cr Guest Likes:	Wenn der Server definitiv "gehackt" wurde dann definitiv nicht an der Stelle. Möglicherweise nicht einmal der Apache sondern ein anderer Server Prozess. Mit dem Thema Sicherheit unter Linux sollte man sich imho beschäftigen bevor man einen Server mietet Und wenn du willst das man dir helfen kann solltest du mehr Infos zur Verfügung stellen zB. was du mit "gehackt" meinst.

11.04.06, 22:45	#6 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Mehr weiß ich auch nicht ... Er hat den Server auch nicht gemietet,er hat da nur seinen Space drauf,kennt aber den Admin... Ich werd ihn morgen nochmal nach mehr Infos fragen... Xalon P.S:Hoffentlich antwortet hier noch einer sonst kann ich morgen nur editieren

12.04.06, 12:54	#10 (permalink)
Zero_X Registriert seit: 31.12.05 Likes: 0	Wenn Index-Listing aktiviert wurde und keine index-File in / ist sieht man davon auch den Inhalt

12.04.06, 17:10	#12 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Kann ich nicht beurteilen Naja nochmal ne Frage warum denn GET ///?C=D;O=A HTTP/1.1 ? Wenn "Index-Listing aktiviert wurde und keine index-File in / ist" sieht man den Inhalt ja so und so ! Xalon

12.04.06, 18:08	#14 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Echt?Hab ich nicht gesehen. Mich hats schon gewundert,weil welchem Script wollte er denn die Parameter übergeben?Naja jetzt weiß ichs. Nochmal Danke an alle Xalon EDIT:jetzt seh ichs

12.04.06, 19:22	#15 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, wobei "?C=D;O=A" nach namen Sortiert. Klick Dort siehst du ja oben die Links: Name Last modified Size Description Nach denen du jeweils die Liste sortieren lassen kannst. Klickt man z.B. auf "Last modified", so steht als Parameter dort: ?C=M;O=A Die Parameter bedeuten: C: Nach was soll sortiert werden. Nach Name Last modified Size oder Description? Das O steht für: ASC (von A nach Z) und DESC (Z nach A)


HaBo Ads HaBOT

[HaBo]

Was bewirken diese Anfragen an den Webserver? (Log)