Log: w00tw00t ISC.SANS

Alles, was den Apache betrifft, kann hier besprochen werden.

Postby TTP » 15. August 2008 10:02

dann kann ich auch meinem programm bei bringen die access.log zu lesen oder die error.log geht wahrscheinlich schneller, da kürzer :)

dachte es lässt sich mit irgendeiner möglichkeit extra loggen.
Place
ohne Apachefriends wär ich in meiner Entwicklung weiter zurück ;)
User avatar
TTP
 
Posts: 310
Joined: 30. August 2003 19:38
Location: Wolfsburg

Postby Nobbie » 15. August 2008 13:07

>log geht wahrscheinlich schneller, da kürzer

Kürzer?

Code: Select all
grep 'w00tw00t\.at\.ISC\.SANS.DFind' apache.log >>w00t.log


Ist das oben wirklich zu lang?

>dachte es lässt sich mit irgendeiner möglichkeit extra loggen.

So hättest Du es in einer extra Datei stehen. Ein Cronjob (beispielsweise Nachts um 4 Uhr) startet den kleinen grep und fertig!
Nobbie
 
Posts: 13170
Joined: 09. March 2008 13:04

Postby TTP » 15. August 2008 13:34

ich möcht ne live-auswertung, deswegen macht der grep nicht viel sinn ;)
möchte ja sobald der falsche request registriert wird die ip für 30 min bannen, denn zwischen dem 1. request und dem scann liegen immer ca. 10min...

Denke ich werd alle 5min die error.log von meinem Programm scannen lassen, das reicht glaubig auch, wenns keine live.log gibt
Place
ohne Apachefriends wär ich in meiner Entwicklung weiter zurück ;)
User avatar
TTP
 
Posts: 310
Joined: 30. August 2003 19:38
Location: Wolfsburg

Postby glitzi85 » 16. August 2008 00:24

Hehe, bei mir laufen die Dinger ja auch ständig auf. Grad hat's mich gepackt und ich hab mir auch mal alle w00t-Logs rausgegrept. nslookup auf die neueste IP, den Hostnamen in den Firefox gezogen: Herzlich Wilkommen bei XAMPP für Windows :evil:
Ich glaub ich mach die restlichen IPs auch noch durch und zähl mal wie oft mir XAMPP unterkommt ;-)

Edit: OK, Projekt abgeschlossen:

23 Scans insgesamt, davon fand ich diese Teile
1 XAMPP 1.5.1
1 XAMPP 1.6.7
1 XAMPP - htdocs angepasst, favicon war noch von xampp
1 Plesk

den Großteil machten Dialup-Maschinen aus, die momentan nicht am Netz sind. Außerdem gabs noch ein paar normale Webseiten.
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Postby TTP » 16. August 2008 01:52

wielange blockst du die ips?

wie hast du das iplookup gemacht? showmyip.com?
Place
ohne Apachefriends wär ich in meiner Entwicklung weiter zurück ;)
User avatar
TTP
 
Posts: 310
Joined: 30. August 2003 19:38
Location: Wolfsburg

Postby glitzi85 » 17. August 2008 21:23

Hi,

Ich bezweifle zwar dass du diese Frage beantwortest, aber warum sollte ich die IPs überhaupt blocken?

Lookups kannst du mit nslookup machen.

mfg glitzi
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Postby TTP » 18. August 2008 11:19

Also ich block es, weil der scan der verzeichnisse bei mir ganz schön performancelastig ist. Der Scan geht zwar noch über ca. 5 Sek. fordert aber in der Zeit knapp 90 Adressen an die es nicht gibt...

Mit Block, kein erneuter Scan ;-)
Place
ohne Apachefriends wär ich in meiner Entwicklung weiter zurück ;)
User avatar
TTP
 
Posts: 310
Joined: 30. August 2003 19:38
Location: Wolfsburg

Postby glitzi85 » 18. August 2008 12:39

OK, das ist ein Argument. Bei mir kommt immer nur ein einzelner Scan, manchmal auch zwei. Dann ist wieder eine Zeitlang ruhe.

mfg glitzi
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Postby deepsurfer » 18. August 2008 13:12

@TTP:

Hast Du eventuell auf Deinem Server sporadisch
- TorrentFlux laufen ?
- shoutcast /peerCast/darwin/icecast 1 oder 2/einen anderen Streamingserver ?

Denn bei allen dieser Programm werden unzählige Verbindungsversuche durchgeführt, die auch stunden lang nach ziehen obwohl nichts mehr davon gültig sein könnte.

Du beschreibst aber auch ein Scanverhalten das durchaus dadurch herrühren kann das Du eine sehr einfache bzw. beliebte Domain hast.
Die sicherlich in einer der unzähligen Scanlisten von scriptkiddies genutzt wird, bzw. die domain als solches bei brutforce scans sehr schnell in seiner Namensgebung generiert wird.

Hinzukommt das Du beschreibst das Du mehrere Domains laufen hast, sind das alle Deine eigenen oder hast du eventuell mit bekannten einen hosting server aufgebaut den Du administrierst.

Sollte letzteres der Fall sein, alle Scripte deiner ""Kunden"" abchecken.
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby TTP » 18. August 2008 15:36

Hast Du eventuell auf Deinem Server sporadisch
- TorrentFlux laufen ?
- shoutcast /peerCast/darwin/icecast 1 oder 2/einen anderen Streamingserver ?

Shoutcast läuft unabhängig auf anderer Netzwerkkarte mit anderer IP, daran kann es also nicht liegen ^^.

Du beschreibst aber auch ein Scanverhalten das durchaus dadurch herrühren kann das Du eine sehr einfache bzw. beliebte Domain hast.
Die sicherlich in einer der unzähligen Scanlisten von scriptkiddies genutzt wird, bzw. die domain als solches bei brutforce scans sehr schnell in seiner Namensgebung generiert wird.

Also bei Ebay-Auktionen wurde oft darauf verlinkt (Bilderverweise, AGBs etc.). Könnte sein, dass Scanner die da erfasst haben. (oft wird auch versucht auf das Verzeichnis /bbb zuzugreifen, was ein indiz dafür ist, denn da waren alle Bilder und AGBs gespeichert.



Hinzukommt das Du beschreibst das Du mehrere Domains laufen hast, sind das alle Deine eigenen oder hast du eventuell mit bekannten einen hosting server aufgebaut den Du administrierst.


Bisher laufen nur meine eigenen Domains darauf. Plane aber ein Hosting aufzubauen, deswegen wollt ich ja auch erstmal die Security richtig ausbauen, bevor ich andere da drauf lasse und das nicht mehr so ganz kontrollieren kann, wer von wo kommt und was will.
Bisher ist auch so gut wie kein Content drauf, außer einer Under Construction Page ;)

Ich denke es sind einfach nur Scanner und deswegen kann man die IPs aussperren, die sich mehrfach über Wochen immer wieder wiederholen.


An dieser Stelle auch gleich ein bisschen Eigenwerbung:
Hab mir n Domainrobot gekauft, brauch jemand Domians? Ich kann gute Konditionen anbieten. z.B. .de für 4EUR im Jahr ;-)
Place
ohne Apachefriends wär ich in meiner Entwicklung weiter zurück ;)
User avatar
TTP
 
Posts: 310
Joined: 30. August 2003 19:38
Location: Wolfsburg

Previous

Return to Apache

Who is online

Users browsing this forum: No registered users and 26 guests