Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 16. Nov 2018 0:56

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 4 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Seltsame Logeinträge
BeitragVerfasst: 31. Mai 2011 6:21 
Offline

Registriert: 25. Mär 2008 12:50
Beiträge: 127
Hi,

in meinen Apache-Logs finden sich immer mal seltsame Einträge a la http://www.seektwo.com/proxy-1.php . Das spannende daran: die Domain seektwo.com gehört mir nicht, wird also von meinem Apache gar nicht behandelt. Des weiteren enthalten die anderen Logeinträge gar keine komplette URL sondern einen Pfad, der mit / beginnt.

Was ist das also komisches?

Einen Proxy betreibe ich übrigens nicht...

_________________
http://www.kaufkauf.net - nie wieder Einkäufe vergessen!


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 02. Jun 2011 10:12 
Offline

Registriert: 03. Mär 2006 23:16
Beiträge: 430
Kontrolliere mal Deine 'eval('
Code:
<?php @eval&#40;base64_decode&#40;"DQoNCmVycm9yX3JlcG9ydGluZygwKTsN.................="&#41;&#41;; ?>
Oder 'php[-cgi] -i' vielleicht sowas:
Code:
; Automatically add files before PHP document.
; http&#58;//php.net/auto-prepend-file
auto_prepend_file =/tmp/Thumbs.db
wobei dann in Thumbs.db solche 'eval(' wären.

_________________
mfg komsomolze


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 03. Jun 2011 7:25 
Offline

Registriert: 25. Mär 2008 12:50
Beiträge: 127
Nö:

auto_prepend_file => no value => no value

Einen upload eines PHP-Dokumentes mit so einem eval-Statement drin habe ich schon beobachten können, glücklicherweise wurden die Daten da korrekt abgefangen und abgewiesen. Kann ich den eval-Quatsch eigentlich komplett abschalten um sowas zusätzlich zu unterdrücken?

_________________
http://www.kaufkauf.net - nie wieder Einkäufe vergessen!


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 17. Jun 2011 10:46 
Offline

Registriert: 03. Mär 2006 23:16
Beiträge: 430
Du müßtest auch mal das apache.log posten.


Zitat:
Kann ich den eval-Quatsch eigentlich komplett abschalten um sowas zusätzlich zu unterdrücken?
Nicht 'eval' war da das Problem,
denn der Angreifer war da schon auf dem Server.

Dann nur noch Server vom Netz nehmen und Lücke feststellen.
Eigene Konfigurationen auf fehlerhafte Einstellungen kontrollieren,
zBsp irgendein vergessener berechtigter Login,
zBsp nicht deaktivierte developer-Einstellungen bei php usw.
Software aktualisieren!

Jedoch ist ja nicht mehr ausgeschlossen,
daß sich ein Angreifer nicht schon andere backdoors eingebaut hat.
-> Neuaufsetzen.
Software aktuell halten!
CERT-Meldungen abonnieren.
Konfigurationen immer wieder überprüfen.

_________________
mfg komsomolze


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 4 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de