verbieten von zumüllen mit fehlgriffen von Hackern..

Alles, was den Apache betrifft, kann hier besprochen werden.

verbieten von zumüllen mit fehlgriffen von Hackern..

Postby Heini_net » 22. November 2003 16:16

Tachschen Leutz..

Ich schau wenn ich 'n fehler in einer HP gemacht habe immer in die Error.log dabei stell ich immer fest das irgendwelche hackfutzis denken ich hätte nen IIS Server und seh dann immer die fehlgriffe nach irgendwelchen ordnern usw..

Ich hab dem entsprechend die ordnern erstellt auch mit sonderzeichen und leere dateien mit den gesuchten namen.

Gibt es keine andere möglichkeit solche befehle mit Apache zu unterbinden bzw. wenn einer versucht einen link, was sich in einer Liste befindet aufzurufen, das es in eine Blacklist kommt und somit keinen zugriff hat weitere seiten aufzurufen ?

Mfg. heini
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby Kristian Marcroft » 23. November 2003 08:39

Hi,

das sind keine Hacker, das sind würmer...
Lösche bitte die angelegten Verzeichnisse und DAtein, das ist ein Sicherheitsrisiko...
und solche meldungen sollten doch nur im access_log stehen oder?
Naja egal, auf jedenfall sind Sie harmlos, und bei nem Error, interessieren doch sowieso nur die letzen 10 Zeilen.

So long
KriS
User avatar
Kristian Marcroft
AF Moderator
 
Posts: 2962
Joined: 03. January 2003 12:08
Location: Diedorf

Postby Heini_net » 23. November 2003 10:22

Moinsn..

Wenn ich die Dateien und Verzeichnisse lösche, dann stehen die in der Error log z.b

Wenn ich se aber erstelle, dann stehen die in der Access log.. jedoch laden dir nur leere dateien runter.. aber hab festgestellt, das die darauf hin nach weiteren dateien suchen.. daher lösch ich se doch wieder..

Mfg. Heini
Last edited by Heini_net on 23. November 2003 11:15, edited 1 time in total.
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby Kristian Marcroft » 23. November 2003 10:55

Hi,

die laden Se nicht runter, sondern der Wurm versucht Datein auszuführen.
Das sind exploits im IIS. das man auf die cmd.exe zugreiffen kann und dann alles mit dem PC machen kann, sogar Platte formatieren etc. pp

Also alles löschen ist sicherer als so ein "Workaround" Dann hab ich lieber die Einträge in den Logs, und sehe das der Wurm keinen Erfolg hat.

So long
KriS
User avatar
Kristian Marcroft
AF Moderator
 
Posts: 2962
Joined: 03. January 2003 12:08
Location: Diedorf

Postby nemesis » 23. November 2003 15:40

KriS wrote:Lösche bitte die angelegten Verzeichnisse und DAtein, das ist ein Sicherheitsrisiko...


why? nt
Ubuntu 8.04 | SMP P3 1.4 GHz | 6 GByte RegECC | 74 GByte Seagate 15k5 system | 3Ware 9550SXU-4LP with 4x 500 GByte Seagate ES2 Raid 10 data | StoreCase DE400 | PX-230A | Intel Pro/1000MT Dual PCI-X
User avatar
nemesis
AF Moderator
 
Posts: 999
Joined: 29. December 2002 13:14
Location: Ingolstadt

Postby Kristian Marcroft » 23. November 2003 15:54

Hi,

was ist sicherer?

etwas was man nicht findet?
Oder etwas das man findet aber kein Inhalt hat?

Ich sage 1.!!
Warum?
Wenn ich ne datei habe von der ich ausm Inet zugreifen kann, wieso fülle ich die Datei dann nicht mit daten (Quellcode) und führe Sie dann aus?

Ausserdem sind das unberechtigte Zugriffe auf die Lokale Platte, also der WUrm ist an sich schon auf der Platte, er kommt nur nicht mehr weiter (die frage ist wie lange?)...
Also ich hab lieber ne Meldung im Log stehen die besagt das der Wurm es versucht hat aber es misglückt ist...
Als das ich keine Meldungen bekomme und ggf. sogar ein anderer Wurm der Apache anfällt und ähnliche Sachen treibt garicht mitbekomme.

So long
KriS
User avatar
Kristian Marcroft
AF Moderator
 
Posts: 2962
Joined: 03. January 2003 12:08
Location: Diedorf

Postby Heini_net » 23. November 2003 16:00

ich hab die dateien schon gelöscht, da ansonsten nur weiter gesucht wird, was ich eigentlich nicht wollte.. aber gibt es eine möglichkeit das apache eine IP-Sperr-Liste erzeugen kann und diejenigen die in der liste stehen keine berechtigung haben meinen server aufzurufen ?

Mfg. Heini
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby nemesis » 23. November 2003 16:09

nein, für sowas braucht man ne Firewall und etwas wie Snort, das die Regeln bei solchen Scannern dafür erstellt.

Wenn ich ne datei habe von der ich ausm Inet zugreifen kann, wieso fülle ich die Datei dann nicht mit daten (Quellcode) und führe Sie dann aus?
definiere bitte mal ausführen, Client- oder Server-seitig?
Und was ist kleiner, eine 404 Seite mit Headern, oder ein Header der sagt das kein Kontext dabei ist?

Ausserdem sind das unberechtigte Zugriffe auf die Lokale Platte, also der WUrm ist an sich schon auf der Platte, er kommt nur nicht mehr weiter (die frage ist wie lange?)...
Es geht um Code Red, wie sollte der über leere Datein unter Apache auf den Rechner kommen ohne den IIS?
Ubuntu 8.04 | SMP P3 1.4 GHz | 6 GByte RegECC | 74 GByte Seagate 15k5 system | 3Ware 9550SXU-4LP with 4x 500 GByte Seagate ES2 Raid 10 data | StoreCase DE400 | PX-230A | Intel Pro/1000MT Dual PCI-X
User avatar
nemesis
AF Moderator
 
Posts: 999
Joined: 29. December 2002 13:14
Location: Ingolstadt

Postby Heini_net » 23. November 2003 16:14

also es ist schon was besser, wenn man keine dateien die verwendet werden zur verfügung stellt, weil sonst immer weiter gesucht wird, denn wenn der wurm von anfang an feststellt, das die dateien nicht vorhanden sind gibt er die suche auf.. ansonsten versucht er im cgi-bin bereich wild befehle aufzurufen, die den traffic sehr belasten wird.. da bleibt mir also nix anderes übrig als eine art proxy zu bauen, indem aber apache über den proxy geht und wenn der proxy feststellt das der client eine seite aufrufen will, was in der blacklist steht wird es abgebrochen.. eine firewall ist in meinem router integriert also macht es keinen sinn eine weitere firewall auf den server zu installieren... ein vierenscanner ist aus sicherheitsgründen dennoch vorhanden.

Mfg. Heini
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby Pondi » 27. November 2003 00:15

Was würde geschehen mit einem Redirect direkt im Apache für solche Wurm Anfragen. Sind doch immer etwa die selben Files die verlangt werden von diesen Würmern. Vielleicht direkt zu Mircorsoft oder irgendwo auf eine verdam.... Site wo jene gefakten Frames aufgehen ... ? :D 8)
Pondi
 
Posts: 10
Joined: 27. November 2003 00:06


Return to Apache

Who is online

Users browsing this forum: No registered users and 2 guests