Apache log

Message
Author
Stefan

Apache log

#1 Post by Stefan »

das hab ich in meinem apache log gefunden: (rh 7.0)


XXX.185.243.90 - - [01/Oct/2001:17:37:20 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
XXX.185.243.90 - - [01/Oct/2001:17:37:21 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
XXX.185.243.90 - - [01/Oct/2001:17:37:23 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
xxx.185.243.90 - - [01/Oct/2001:17:37:24 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-"
xxx.185.243.90 - - [01/Oct/2001:17:37:26 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-"


was hat das zu bedeuten?

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: Apache log

#2 Post by Stormbringer »

Soweit mir bekannt:
.. das ein Namda-verseuchtes Gerät Deinen Rechner besucht hat ...
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

Stefan.

Re: Apache log

#3 Post by Stefan. »

das ding acht es ständig! meinst du mit namda nimda? ist doch nur gefährlich für miscrosoft server oder?

Anonymer User

Re: Apache log

#4 Post by Anonymer User »

Entweder Nimba, Code Red oder ein vergleichbarer Übeltäter.
Aber, wie der Eintrag schon sagt, er sucht immer wieder nach einer cmd.exe in einem Unterverzeichnis von winnt (Windows NT 4 oder Windows 2000).
Dat verursacht halt nur traffic, sollte aber nicht allzu schädlich für ein *nix System sein.

zeoch
Posts: 89
Joined: 28. Sep 2001 7:48
Location: Berlin
Contact:

Re: Apache log

#5 Post by zeoch »

Ich hatte änliche logs schon mal vor dem ganzen Virenhipes.
Kann es sein das da auch einer versucht nen vulnäri auf nem MS Server zu testen?
gerade diese /..%c0%2f../ machen mich stutzig ...
MfG
Zeoch

Stefan

Re: Apache log

#6 Post by Stefan »

@all:

Also kommt höchstwahrscheinlich, dies von einem infizierten windoof client im internet!?
was machen obengenannte viren ip-scan oder gehen die direkt auf domains?
interessant ist die anfragen kommen immer von ip´s die zu t-online gehören oder gehören könnten 217.xxx.xxx.xxx und 62.xxx.xxx.xxx.

zeoch
Posts: 89
Joined: 28. Sep 2001 7:48
Location: Berlin
Contact:

Re: Apache log

#7 Post by zeoch »

das kommt definitiv von jemanden, der dein system/webserver auf vulnerables checkt. diese vuln. sind aber nur auf windoofs kisten zu finden. habe durch zufall das hier gefunden:
Q293826 - MS01-026
Q301625 - MS01-044
Windows 2000 Service Pack 2
If none of those are installed, the system is vulnerable to
this issue.
For a more specific verification, test the exploit on your
own system to see whether it is successful. Try typing the following command against your
IIS web server:
http://victim/scripts/..%c0%af../winnt/ ... e?/c+dir+c:\ 

nach zulesen unter http://www.sans.org/top20.htm

Da wird irgend ein Depp das Internet per script auf diese vulnerables durchsuchen. ob die erwähnten viren auf diesen vul aufbauen und sich so verbreiten, weiss ich allerdings nicht.
God save da linux :)
MfG
Zeoch

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: Apache log

#8 Post by Stormbringer »

... mal eine generelle Frage dazu?
Gibt es eigentlich eine Anlaufstelle, um solche Typen zu melden?
Hört sich vielleicht pedantisch an, aber per log Eintrag (timestamp, ip-adresse) ist er ja eindeutig zu identifizieren, und Ärger verursacht er zumindest durch zusätzlich anfallenden Traffic.
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

zeoch
Posts: 89
Joined: 28. Sep 2001 7:48
Location: Berlin
Contact:

Re: Apache log

#9 Post by zeoch »

Die Polzei dein Freund und helfer ...
Einer Anzeige müssen sie auf jedenfall nachgehen. Ich hatte mich auch mal des wegen erkundigt und die meinten, dass sie eigentlich nur die logs dazu bräuchten.
Allerdings würde ich wegen sowas kein Wind machen, die Einträge haben bestimmt so ziemlich alle Leute mit nem Linux Server am Netz. Ist nur die Frage, ob alles das bemerken.
Was schon härter kommt, ist wenn man täglich scanns aus dem selben Provider subnet verzeichnen kann. Sowas hatte ich mal, die allerdings aufhörten, als ich den Provider mailte und ihm die logs zeigte.
Nunja, must Du selber wissen...
MfG
Zeoch

Lutz

Re: Apache log

#10 Post by Lutz »

so, du kannst also anhand von ip adressen auf den angreifer schliessen? SCNR

hoffentlich werde nicht ich sondern irgend ein anderer unschuldiger opfer deines zorns. nach möglichkeit informiere lieber mal denjenigen der sich diesen wurm eingefangen hat und schau das der seine kiste in ordnung bringt (natürlich nur sofern du denjenigen identifizieren kannst).
es verursacht zwar traffic, mehr aber auch nicht. die polizei sollte m. E. nur bei tatsächlichen angriffen eingeschaltet werden. die polizisten haben hoffentlich besseres zu tun als falsch konfigurierte computer im internet zu suchen.
solltest du einen tatsächlichen angriff, nicht von einer wurm/virus attacke unterscheiden können, bitte ich dich darum die polizei aus dem spiel zu halten.
1. es erspart dir peinlichkeiten
2. wer 3x lügt, dem glaubt man nicht
auf diesen fall gemünzt wenn du immer schreist es brennt aber es war vielleicht nur eine neumodiche lampe. nachdem du einige dieser fehlalarme ausgelöst hast, wird dir niemand mehr helfen wollen

gruss

zeoch
Posts: 89
Joined: 28. Sep 2001 7:48
Location: Berlin
Contact:

Re: Apache log

#11 Post by zeoch »

@ Lutz
auch hier gilt mal wieder: WER lesen kann ist klar im Vorteil ...
Im Notfall auch mal 2 mal lesen ...

> so, du kannst also anhand von ip adressen auf den angreifer schliessen? SCNR
hoffentlich werde nicht ich sondern irgend ein anderer unschuldiger opfer deines zorns. nach möglichkeit informiere lieber mal denjenigen der sich diesen wurm eingefangen hat und schau das der seine kiste in ordnung bringt (natürlich nur sofern du denjenigen identifizieren kannst).

Man bekommt über die IP niemals den eigentlichen User dahinter. Daher sagte ich auch, schreib den Provider an, zudem die IP gehört. Auflösung gibt´s bei der Denic bzw Internic. Die meisten Provider schreiben die Kunden an und weisen Ihn daraufhin, das er ein Problem auf seinem Rechener haben könnte.
Einen Freund so bei Freenet passiert. Call by Call können so natürlich nicht angeschreieben werden, das ist halt den pech. Was soll SCNR heissen ??

Bei dem Rest denke ich habe ich sinn gemäss das selbe geschrieben, ausser Ihn nicht so ausdrücklich gebeten nicht zur Polizei zu gehen.

Und was machst du Lutz, wenn du feststellt, das Du auf einmal mehr Benutzer als Deine eigentlich von Dir erstellten aufm Rechner hast? Sowas lass ich schon mal in diesem Forum und einen Freund passierte es auch, des der 3 Benutzer mehr drauf hatte mit kryptischen Namen. Danke dem damaligen Suse paranoiden logging könnte das "unschuldige opfer meines (bzw meines freundes) zorns" gefasst werden. 1/2 Jahr auf bewährung und eine nicht schlechte Geldstrafe kamen raus.
Ach, so unschuldig war er gar nicht. 1000 (ok, iss übertrieben)von trojanern/ viren und was weiss der teufel hat die polizei bei ihm gefunden. Von den anderen zeitgleichen Beschwerden versch. User versch. Provider mal ganz abzusehen.

Das man jetzt nicht wegen jedem kleinen Logeintrag die Polizei einschaltet, dachte ich eigentlich geschrieben zu haben.

MfG
Zeoch

Lutz

Re: Apache log

#12 Post by Lutz »

@Zeoch
>auch hier gilt mal wieder: WER lesen kann ist klar im Vorteil ...

genau, vor allem, da ich eigentlich nicht dich meinte. Ein Posting weiter oben wurde IP-Adressen als definitiv sicheres Kriterium angesehen

>Im Notfall auch mal 2 mal lesen ...

sag ich doch <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

>Man bekommt über die IP niemals den eigentlichen User dahinter

Ausser bei den IP-Adressen, die dem Denic frü Webserver etc. gemeldet sind.

SCNR heisst Sorry Could Not Resist

> Und was machst du Lutz, wenn du feststellt, das Du auf einmal mehr Benutzer als Deine eigentlich von Dir erstellten aufm Rechner hast?

Zu erst einmal ein dummes gesicht <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
Danch Internetverbindung trennen und schauen wie der Junge auf mein System kam (sofern ich dazu überhaupt in der Lage bin), kam bis jetzt aber glücklicherweise noch nicht vor. Festplatte formatieren, und neu Aufsetzten, Firewall Skript überarbeiten. Rechner wieder ans Netz hängen.

>Danke dem damaligen Suse paranoiden logging könnte das "unschuldige opfer meines (bzw meines freundes) zorns" gefasst werden. 1/2 Jahr auf bewährung
>und eine nicht schlechte Geldstrafe kamen raus.
anscheinend war er wohl nicht so klever wie er dachte. Ich möchte jetzt mal nicht grossartig was dazu sagen um die "dummen" nicht auf noch dümmere gedanken zu bringen. Call by Call ist schon so ein Stichwort, dass in die richtige Richtung geht. Aber vom Hacken ich trotzdem keine Ahnung (also gleich stufe wie skrippt Kiddies nur klüger <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

>Das man jetzt nicht wegen jedem kleinen Logeintrag die Polizei einschaltet, dachte ich eigentlich geschrieben zu haben.

hast du auch. Wie gesagt du warst damit auch nicht wirklich gemeint. Allerdings sagen Scans überhaupt nichts aus. Ich Scanne manchmal nur so aus neugier Rechner. (z. B. weil eine Code Red anfrage von dort kam). Mich interessiert einfach, wie schlecht manche rechner doch gesichert sind. Ich begehe mit Scans keine Straftat (sind nämlich legal). Ich versuche nicht Rechner zu infiltrieren oder ähnliches (warum auch), manchmal interessiert es mich auch einfach, nur welches BS auf der anderen Seite läuft. Von einem Scaan suf einen versuchten Eingriff zu schliessen ist allein deswegen schon sehr gewagt (ich sag es nochmals: Scan versuche sind völlig legal, sofern dir dein Arbeitgeber oder andere nichts anderes vorgeben)

Aber um auf deinen Freund zurückzukommen: Er hatte glück, dass er einen Angreifer hatte, der die Logfiles nicht änderte (schön blöd).
Wie kam er überhaupt zu root rechten bei deinem Freund?

Gruss
Lutz

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: Apache log

#13 Post by Stormbringer »

@Lutz:
Texte sollte man trotzdem lesen können!
Habe es sogar noch deutlicher gemacht, indem ich time stamp und ip Adresse in Zusammenhang brachte ... nur für den ganz Unbedarften: per time stamp (Uhrzeit, Datum) und ip Adresse ist es ausgesprochen einfach den Teil herauszubekommen.
Hinzu kommt, daß niemanden mein Zorn treffen wird, sondern eher das Interesse irgendwelcher Ermittelnder (Provider; Polizei; Staatsanwaltschaft; etc.) - das aber nur zur Verfahrenserläuterung ...

Gruß
Last edited by Stormbringer on 08. Oct 2001 15:58, edited 1 time in total.
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

Lutz

Re: Apache log

#14 Post by Lutz »

@Stormbringer
eigentlich kann ich nicht lesen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Aber trotzdem bringt es dir rein gar nichts die (angebliche) IP Adresse von irgend jemandem zu haben (ob mit oder ohne time stamp).
Aber nur um nochmals deutlicher zu werden:
1. IP-Adressen kann man fälschen
2. Gibt es Call by Call
3. Gibt es eine Steigerung von Call by Call (s. aktuelle ct)
4. Wird man einen bereits übernommene Rechner zu solchen Attacken verwenden
etc.
Also bei halbwegs gut gemachter Attacke bist du mit der IP in deinem Log genauso schlau wie zuvor.
Falls ich mich irren sollte, gib Bescheid

gruss

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: Apache log

#15 Post by Stormbringer »

Klar kann anhand der Daten der Einwähler ermittelt werden ....
Selbst by Call by Call - schließlich wird z. B. eine Rufnummern kennung mit übergeben, oder aber, bei analogen Einwahlen, per Re-Check der digitalen Vermittlungsstationen der DT ein Port, und damit ein Anschluß ermittelt werden.
Alles recht simpel, wird auch des öfteren angewendet. Muß halt nur von einer ermittelnden Institution beantragt werden.
Zum anderen Punkt: auch Anonymisierdienste sind verpflichtet, logs zu führen. Diese Anonymisierdienste dienen halt mittlerweile nicht mehr dazu, gänzlich die Spuren zu verwischen, sondern nur noch die ip Adresseinträge in Websitelogs nicht mehr ohne weiteres für jeden Normalbürger eins-zu-eins zuordbar zu machen.
Übernommener Rechner: klar kann so etwas passieren, aber hier gilt: a) wer einen Rechner übernimmt macht sich bereits starfbar, b) derjenige, dessen Rechner übernommen wurde hat auch juristisch Pech gehabt, da er nuneinmal für dieses System zuständig ist .... aber darum geht es nicht!
Es ist und bleibt eine Belästigung, für die nicht derjenige verantwortlich ist, welcher belästigt wird!
Und im Zweifelsfall sind die deutschen Organe zum Aufspüren solcher Schädlinge gar recht erfolgreich ... aber auch hier gilt: wo kein Kläger da kein Richter.

Aber alles in Allem wird mir das nun ein bißchen zu naiv .... wer glaubt, ihn erwischt niemand, kann ruhig in diesem Glauben bleiben ... ob solche Logeinträge nun ausreichen, ein komplettes Sortiment an Informationsbeschaffung auslösen, glaube ich kaum! Es geht aber um die prinzipielle Möglichkeit dies zu tun, und die besteht nun einmal.

Gruß & Ende zu diesem Thema
Last edited by Stormbringer on 09. Oct 2001 9:31, edited 1 time in total.
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

Post Reply