Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Seltsame Logeinträge

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
ElBlues



Anmeldungsdatum: 25.03.2008
Beiträge: 127

BeitragVerfasst am: 31. Mai 2011 6:21   Titel: Seltsame Logeinträge

Hi,

in meinen Apache-Logs finden sich immer mal seltsame Einträge a la http://www.seektwo.com/proxy-1.php . Das spannende daran: die Domain seektwo.com gehört mir nicht, wird also von meinem Apache gar nicht behandelt. Des weiteren enthalten die anderen Logeinträge gar keine komplette URL sondern einen Pfad, der mit / beginnt.

Was ist das also komisches?

Einen Proxy betreibe ich übrigens nicht...
_________________
http://www.kaufkauf.net - nie wieder Einkäufe vergessen!
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

komsomolze



Anmeldungsdatum: 03.03.2006
Beiträge: 429

BeitragVerfasst am: 02. Jun 2011 10:12   Titel:

Kontrolliere mal Deine 'eval('
Code:

<?php @eval(base64_decode("DQoNCmVycm9yX3JlcG9ydGluZygwKTsN.................=")); ?>

Oder 'php[-cgi] -i' vielleicht sowas:
Code:

; Automatically add files before PHP document.
; http://php.net/auto-prepend-file
auto_prepend_file =/tmp/Thumbs.db
wobei dann in Thumbs.db solche 'eval(' wären.
_________________
mfg komsomolze
 
Benutzer-Profile anzeigen Private Nachricht senden

ElBlues



Anmeldungsdatum: 25.03.2008
Beiträge: 127

BeitragVerfasst am: 03. Jun 2011 7:25   Titel:

Nö:

auto_prepend_file => no value => no value

Einen upload eines PHP-Dokumentes mit so einem eval-Statement drin habe ich schon beobachten können, glücklicherweise wurden die Daten da korrekt abgefangen und abgewiesen. Kann ich den eval-Quatsch eigentlich komplett abschalten um sowas zusätzlich zu unterdrücken?
_________________
http://www.kaufkauf.net - nie wieder Einkäufe vergessen!
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

komsomolze



Anmeldungsdatum: 03.03.2006
Beiträge: 429

BeitragVerfasst am: 17. Jun 2011 10:46   Titel:

Du müßtest auch mal das apache.log posten.



Zitat:
Kann ich den eval-Quatsch eigentlich komplett abschalten um sowas zusätzlich zu unterdrücken?
Nicht 'eval' war da das Problem,
denn der Angreifer war da schon auf dem Server.

Dann nur noch Server vom Netz nehmen und Lücke feststellen.
Eigene Konfigurationen auf fehlerhafte Einstellungen kontrollieren,
zBsp irgendein vergessener berechtigter Login,
zBsp nicht deaktivierte developer-Einstellungen bei php usw.
Software aktualisieren!

Jedoch ist ja nicht mehr ausgeschlossen,
daß sich ein Angreifer nicht schon andere backdoors eingebaut hat.
-> Neuaufsetzen.
Software aktuell halten!
CERT-Meldungen abonnieren.
Konfigurationen immer wieder überprüfen.
_________________
mfg komsomolze
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy