Apache Log Auswertungen - einiges unklar:

[beko]

Ich hab ein wenig meine ApacheLogs meines Hausindianers gecheckt und bin dabei auf ein paar Ungereimtheiten gestoßen:

error.log wie einige Einträge in diesem Stil auf:

[Tue Apr  1 07:08:00 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Tue Apr  1 07:08:04 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/msadc/..%5c../..%5c../..%5c/..Á^\../..Á^\../..Á^\../winnt/system32/cmd.exe
[Tue Apr  1 07:08:09 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/..Á^\../winnt/system32/cmd.exe
[Tue Apr  1 07:08:17 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/..??../winnt/system32/cmd.exe
[Tue Apr  1 07:08:19 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/..Á~\../winnt/system32/cmd.exe
[Tue Apr  1 07:08:29 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Tue Apr  1 07:08:32 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/..%2f../winnt/system32/cmd.exe
[Tue Apr  1 07:20:51 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/root.exe
[Tue Apr  1 07:20:56 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/MSADC/root.exe
[Tue Apr  1 07:21:00 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/c/winnt/system32/cmd.exe

...und so weiter. Das hat nun wenig mit dem 1. April zu tun sondern findet sich immer mal wieder im Log.

Hier ist noch was schönes:

[Sun Nov 23 05:15:42 2003] [error] [client 213.51.28.129] Invalid method in request ?4
[Sun Nov 23 05:16:27 2003] [error] [client 213.51.28.129] Invalid method in request ?4
[Sun Nov 23 05:24:43 2003] [error] [client 80.56.224.242] Invalid method in request ?H
[Sun Nov 23 05:25:00 2003] [error] [client 81.240.15.63] Invalid method in request ?`
[Sun Nov 23 05:25:26 2003] [error] [client 80.56.224.242] Invalid method in request ?H
[Sun Nov 23 05:26:11 2003] [error] [client 80.56.224.242] Invalid method in request ?H

...und so weiter.

Achtung, hier kommt mein Favorit:

[Thu Nov 27 22:44:02 2003] [error] [client 211.47.128.139] request failed: erro
neous characters after protocol string: GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%u0000
%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
[.....vieeeeel mehr davon gekürzt....]
e0\xd8\x99\xde\xfc\xed\xc9\xeb\xf6\xfa\xd8\xfd\xfd\xeb\xfc\xea\xea\x99\xea\xeb\
x7f\xee\xa8\xe9\x7f\xee\x99\xfaL\x8e\xbf\x86cmd.exe$ HTTP/1.1

Gerade letzteres sieht mir IHMO stark nach dem Versuch einen Buffer Overflow Exploit auszunutzen. Entweder macht sich hier jemand einen Scherz oder es war irgend n ScriptKiddie was "Apache-Nuke.exe" oder ähnliches probiert hat

Was mich eigentlich am meisten wundert warum hier jeweils versucht wird eine /EXE/ zu starten. Dass man hier eine Linux Box vor sich hat sollte eigentlich jeder merken....

 

[poiin2000]

Da hat einer mit einem Vulnerability Scanner gespielt.

Vermutlich etwas aus der Reihe Nessus/Xscan.

Kannst du getrost ignorieren .. sowas habe ich bei uns ohne ende.

mfg p2k

 

[E S]

Hi,

bei dem ersten Beispiel versucht einer schlicht und einfach Kontrolle über Deinen rechner per Kommandozeile zu bekommen. CMD.EXE kann man nämlich eine Batch-Datei mitgeben.

Ich hab mal so nen Spinner Inflagranti erwischt (Die Logs dienen bei meinen IBM-Terminal als Bildschirmschoner). Daraufhin habe ich ihm á la "net send" einen kurzen, bösen Brief geschrieben. Interessanterweise stand die besagte IP nach noch nicht mal 30 Sekunden sinnvolleren Tätigkeiten wieder zur Verfügung

ich warte noch drauf bei so was ein Word-Dokument zu ergattern. Wenn dort keine gefakten Daten eingetragen wurden kann man da eine ganze Menge rausziehen. Vielleicht sogar die Telefonnummer. Da muss ich wohl noch was warten...

Schreib Dir ein Script, was Dich darauf aufmerksam macht. Dann kannst Du auch mal probieren Spaß zu haben. Wie ging noch gleich der killer-Ping?

gruß
Elmar

 

[Rushjo]

@E S

Wie meinst Du das mit "CMD.EXE kann man nämlich eine Batch-Datei" mitgeben? Muss man doch garnicht,
wenn ich über den Unicode-Bug schon Kontrolle über den Rechner habe, dann reicht mir das, um mir eine
"Tür zu öffnen". Und voil?.

@beko

Ich glaube auch, das das nur ein automatischer Scanner war und läßt sich auch gut belegen an den Logs von
Dir:

logs-auszug von beko
[Tue Apr 1 07:08:00 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Tue Apr 1 07:08:04 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/msadc/..%5c../..%5c../..%5c/..Á^\../..Á^\../..Á^\../winnt/system32/cmd.exe
[Tue Apr 1 07:08:09 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/..Á^\../winnt/system32/cmd.exe
[Tue Apr 1 07:08:17 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/..??../winnt/system32/cmd.exe
[Tue Apr 1 07:08:19 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/..Á~\../winnt/system32/cmd.exe
[Tue Apr 1 07:08:29 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Tue Apr 1 07:08:32 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/..%2f../winnt/system32/cmd.exe
[Tue Apr 1 07:20:51 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/scripts/root.exe
[Tue Apr 1 07:20:56 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/MSADC/root.exe
[Tue Apr 1 07:21:00 2003] [error] [client 217.81.116.77] File does not exist: /srv/www/htdocs/c/winnt/system32/cmd.exe

Man achte mal auf die relativ eng zusammen liegenden Zeit der Befehlseingaben. Normal tippt ein Hacker
nicht ganz so schnell Befehle ein, schon garnicht bei so langen Befehlen!

MfG Rushjo

 

[beko]

Original von E S
Ich hab mal so nen Spinner Inflagranti erwischt (Die Logs dienen bei meinen IBM-Terminal als Bildschirmschoner). Daraufhin habe ich ihm á la "net send" einen kurzen, bösen Brief geschrieben. Interessanterweise stand die besagte IP nach noch nicht mal 30 Sekunden sinnvolleren Tätigkeiten wieder zur Verfügung

LOOOL

..aber sag mal, wird nicht gerade net send von immer mehr Providern geblockt wegen der Spamverteilung über das Ding? Außerdem sollte man meinen dass ein typisches Scriptkiddie bereits weiß wo man das Ding abstellt

Dass hier ein Scanner am Werk war habe ich ebenfalls schon vermutet. Einfach mal alle Exploits der vergangenen Jahre durchprobieren X(

...EXE auf Linuxmaschinen ;(

Danke für die Antworten

 

[E S]

Hi,

tja, was soll man den sonnst damit anfangen, zu wissen, wo die cmd.exe liegt?

Dass bei den Scripten die Droped-Meldungen so schnell aufeinanderfolgen ist schon klar. Da müsste sich doch was machen lassen. Kann man nicht irgendwas "basteln", dass das erkannt wird und die dazugehörige IP für ein paar Stunden gesperrt wird?
Böse Zungen behaupten nämlich, dass eine gewisse Firewall von MS sich so vor bekannten Tools schützt, also den Test dieser Tools mit bravour besteht... Habe ich mal so gehört, ob es stimmt kann ich mir eigentlich nicht denken, aber so etwas würde ja einen zusätzlichen Schutz darstellen.

Als ich diesen Angriff erhalten habe hatte ich eigentlichauch gedacht, dass der Depp (im Nachhinein nenne ich den mal so) sich vor Retourkutschen schützen würde. Naja, Spaß muß sein und kostet ja nix.

Erinnret mich irgendwie an die gute alte CB-Funkerzeit. Als mich mein Funkgerät durch klappern des Feldstärkezeigers auf einen Brennerbesitzer aufmerksam gemacht hatte habe ich den Lautsprecher eingeschaltet. Toll, ein Trägerdrücker. Die sind irgendwie auf die Stufe zu stellen wie heutzutage die Spammer. Also schnell einen Freund angerufen und eine Kreutzpeilung gemacht. Dann sind wir auch gleich hingefahrn und haben geklingelt. So ein kurzer machte die Tür auf. Daraufhin haben wir uns Spaßeshalber als von der Post ausgegeben, zumal das Auto des bekannten ein ehemaliges Postfahrzeug ist in Originallackierung . Darauf der Kliene: "Meine Eltern sind nicht da!" und schmeist die Tür zu.
Schade, dass das mit Spmmern nicht auch funktioniert.

Was mich eigentlich viel mehr beunruhigt ist, dass ich mal eine verweigerte Email bekommen habe. Offensichtlich hat da jemand Spam versendet mit meiner emailadresse. OK, nichts neues, aber der hatte sogar meine IP!!! In den Serverlogs war aber nichts zu finden. Weder in den gedroppten Paketen noch in den anderen SMTP / IMAP / POP3 logs. Schon seltsam.

Gruß
Elmar

 

[beko]

...hum, sowas hatte ich gestern oder vorgestern. Eine ganze Latte Mail delivery errors von meinem(?) Absender an irgendwelche .ru Domains X(

 

[Gulliver]

@ES

Zu voreiliges blocken "irgendwelcher" IPs ist völlig NoGo und ist auch eigentlich völlig unnötig.
Bei Logfiles @beko muss man sich nun wirklich keine Sorgen machen.

 

[beko]

Original von Gulliver
Bei Logfiles @beko muss man sich nun wirklich keine Sorgen machen.

Mache ich mir nicht, danke

Ich wollte nur wissen was der Rest der Welt dazu denkt.

 

[E S]

E S

Hi,

naja, war nur so eine Idee. Nervt halt auf Dauer. Und wenn man dann nur einen Vertrag mit Zeitabrechnung hat, bleibt der Server an. Ich habe zum Glück flatrate, abre naja... Wenigstens weiss ich, warum es keine Tools für so was gibt. Gehört sich also nicht.

Was mich an der Mailaktion sehr verwundert hat it, wie die an meine IP gekommen sind. War auch eine ausländische Mail (in englisch). Mailadresse ist keine Kunst, aber Mailadresse und zugehörige IP?
Im Mailkopf war aber nicht mein Servername drinn, sondern wirre Zeichen. Aber mein aktuelle IP.Ob da einer meinen mailprovider gehackt hat? Aber da hätten die nicht meine aktuelle IP... Sicherheitslücken bin ich mir auch nicht bewusst. Vielleicht hat jemand eine Mail von mir abgefangen und ausgewertet?

Gruß
Elmar

 

[Rushjo]

@beko

Da Dein Rechner ja mit Linux läuft, nimm einfach "PortSentry", der lauscht dann auf einer
einzustellenden Anzahl von Ports und führt bei einem Scan dann eine Antwort-Reaktion aus.
Dies kann zum Beispiel das befristete Sperren einer IP sein. Hier bekommst Du "PortSentry".
Schau Dir mal an, sehr schönes Spielzeug!!

MfG Rushjo