seltsamer Log Eintrag

O

oberon

Guest
Hallo ich bin neu hier.
Habe das Forum durch google gefunden.
Wir hosten ein paar Webseiten (unsere) und betreiben einen eigenen mailserver. Alles unter Suse-linux.

Folgende drei Eiträge erscheinen im Accesslogfile von Apache als Erstes wenn ich das Logfile lösche und neu boote:

-----

24.127.144.214 - - [29/Mar/2004:15:21:50 +0200] "GET http://www.proxycity.com/proxy.php HTTP/1.1" 200 149
66.165.3.214 - - [29/Mar/2004:15:23:24 +0200] "GET http://e7.member.yahoo.com/config/login?.r...sswd=1235678910 HTTP/1.0" 502 945
66.165.3.214 - - [29/Mar/2004:15:24:11 +0200] "GET http://e8.member.yahoo.com/config/login?.r...asswd=123567890 HTTP/1.0" 502 935
-------

Kann so etwas ein Trojaner machen? Wurde er in Apache eincompiliert?

Wir hatten 2 Hackerangriffe die unsere Websites mit neuen Indexfiles 'schmückten', an sich harmlos aber ecklig.

nun habe ich dauernd solche Zugriffe:
----
P/1.0" 999 1195
68.185.209.155 - - [30/Mar/2004:08:01:53 +0200] "GET http://e6.member.ukl.yahoo.com/config/logi...54&passwd=12345 HTTP/1.0" 999 1195
68.185.209.155 - - [30/Mar/2004:08:08:07 +0200] "GET http://e2.edit.cnb.yahoo.com/config/login?...es&passwd=12345 HTTP/1.0" 200 2520
68.185.209.155 - - [30/Mar/2004:08:20:17 +0200] "GET http://e2.edit.cnb.yahoo.com/config/login?...6&passwd=123456 HTTP/1.0" 200 2448
-----

wobei der user immer ein bisschen wechselt.
mad.gif


Hat jemand vielleicht einen Tipp zur Hand?
smile.gif

Gruss
oberon
 
Hallo!

Das sieht mir so aus, als ob jemand von Deinem Server versucht bestimmte Seiten mittels "Brute Force" Attacken zu knacken. Ich würde den Server mal gründlich nach Backdoors und RootKits absuchen.

Viel Glück!
AlexZ
 
Aus meiner Sicht ist dein Apache falsch konfiguriert und wird im Moment für sogenannte "Cross-Site-Tracing" Attaken verwendet.

Da die Anfragen deinen Server von extern erreichen, ist auch nicht anzunehmen, dass lokal etwas gecrackt wurde.

Nessus gibt zu dem Problem folgende Lösung an:

http://www.kb.cert.org/vuls/id/867593

Ich würde das mal umsetzen, dann werden zwar die Anfragen vermutlich immer noch kommen, dein Apache wird mit den neuen Regeln aber nichts mehr unternehmen.

Gruss
Roger

 
hallo zusammen

ey cool leute, danke für die antworten.

Weil ich die Seiten vom internen Netzwerk anschauen wollte. leitete ich sie via squid um und konfigurierte apache als 'act as proxy'. was mit sich brachte dass ich einen offenen proxy hatte, ich idiot, und vermutlich ist der inzwischen in allen anonymous- und proxynet's eingetragen. haufenweise traffic... was mich immer schon wunderte... inzwischen schaue ich die gehosteten webseiten via host datei an und der proxy ist geschlossen.

es gibt unterschiedliche zugriffsarten in der access log datei von apache:

GET, HEAD und SEARCH - was ist SEARCH und wo findet man ein Verzeichnis wo die Zugiffsarten aufgeführt sind?

Gruss
oberon
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben