Apache Log zeigt Hackversuch

[DonClaus]

Moin, moin,

kannn mir einer erklären, was dieser Hackversuch bezweckt?
Habe sonst über Goole etc. nichts gefunden:

vps-1051735-4354.manage.myhosting.com - - [14/Aug/2013:18:02:44 +0200] "POST /%70%68%70%70%61%74%68/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 798 "-" "-"Dankee

 

[Mackz]

/phppath/php?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_functions=""+-d+open_basedir=none+-d+auto_prepend_file=php://input+-n

Hat jemand versucht per POST Parameter zu übergeben, die die Einstellungen deines PHP Interpreter beeinflussen sollen.

http://www.php.net/manual/de/ini.list.php

 

[DonClaus]

Hallo,
nein, an eine Post Versuch kann ich mich nicht erinnern.
Was ich gefunden habe ist:

222.76.242.151 - - [06/Aug/2013:19:27:39 +0200] "GET /phppath/php HTTP/1.0" 404 798 "-" "-"

Der Post Eintrag (POST /%70%68)tritt häufiger mit verschiedenen UrsprungsIPs aus aller Welt,
vornehmlich China, Russland, aber auch von Telekomik und anderen Deutschen Providern auf.
Der Get phppath kommt auch neuerdings häufiger vor.

Grüsse

 

[bitmuncher]

Hallo,
nein, an eine Post Versuch kann ich mich nicht erinnern.

Mackz sprach von einem POST-Request.

Zum Thema: Es gab mal einen Bug in PHP, der es erlaubte mittels POST-Request die Einstellungen zu ändern. Da viele Leute ihre Server nur unregelmässig update, haben viele Botnets diese Lücke in ihre Verbreitungsroutinen aufgenommen, weswegen solche Anfragen mittlerweile relativ häufig auftreten.
Wenn du ein IDS am Laufen hast, kannst du IPs, die diese Requests verursachen, einfach automatisch blocken lassen um unnötigen Rechenleistungs- und Traffic-Verbrauch zu reduzieren.
Auf jeden Fall musst du dir darum keine Sorgen machen, wenn dein PHP auf einem aktuellen Stand ist.

 

[DonClaus]

Hallo,

sorry, ich bin nicht ganz so firm in der Geschichte.
Mein Server ist ein kleiner, völlig unwichtiger Synologiserver über dyndns.

Ich versuche, diese Ips über .htacces auszusperren, was wohl nicht immer richtig funktioniert.

IDS ?? ist was oder wofür steht der Kürzel?
DAnke

Grüsse

 

[bitmuncher]

Ich versuche, diese Ips über .htacces auszusperren, was wohl nicht immer richtig funktioniert.

Auch bei htaccess-Sperrungen kommen immer noch die Requests bei deinem Webserver an. Sie werden lediglich nicht beantwortet. Effizienter ist die Sperrung über eine Firewall. Bei Linux z.B. mittels 'iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source <ipadresse> -p tcp -j DROP'.

IDS ?? ist was oder wofür steht der Kürzel?

Für Intrusion Detection System. Wirst du aber auf einer Synology kaum zur Verfügung haben, vermute ich mal, wenn du kein Custom System nutzt.

 

[DonClaus]

Danke für die Antwort.

Werde morgen mal die Firewall der Synology ins Auge fassen, wie die tickt, vielleicht besser als die .htaccess.

 

[bitmuncher]

Der Webserver der Synologys ist nicht gerade für einen Einsatz im WWW geeignet. Er soll eigentlich eher als Entwicklungssystem zur Verfügung stehen. Und Server im WWW ohne richtigen Sysadmin sind imo auch ein Unding. Hol dir lieber einen preiswerten Webspace.

 

[DonClaus]

Hallo,
danke für den Hinweis.
Meine Synologie ist kein aktives System, weder als www noch sonstwie, eigendlich nur eine NAS, die per dyndns erreichbar ist.
Allerdings checke ich täglich die Logs und wenn ich derartige Einträge sehe, frage ich mich schon, was das soll und was ich dagegen tun kann, vor allem, wenn ich nicht weiß, was mit derartigen Hyroglyphen errreicht werden soll.

Ich lerne halt noch.(für größere Aufgaben? )

 

[mime]

Zum Thema: Es gab mal einen Bug in PHP, der es erlaubte mittels POST-Request die Einstellungen zu ändern.

Du meinst cve-2012-1823. Ja, die sind sich beide sehr ähnlich. Der obige ist aber speziell für plesk (CVE-2013-4878 ).

 

[Vyger]

In der Regel sollte deine Diskstation so im Netz kleben:

|Inet|---|Modem|---|Router/Firewall|---|LAN|---|DS|

Was Du beschreibst kann ja nur vorkommen,
wenn Du:

1. keine Firewall zwischen der DS und dem Internet hast
2. Ports in der Firewall zur DiskStation weitergeleitet hast

Beides solltest Du schleunigst abstellen.