Hi,
in meinen Apache-Logs finden sich immer mal seltsame Einträge a la http://www.seektwo.com/proxy-1.php . Das spannende daran: die Domain seektwo.com gehört mir nicht, wird also von meinem Apache gar nicht behandelt. Des weiteren enthalten die anderen Logeinträge gar keine komplette URL sondern einen Pfad, der mit / beginnt.
Was ist das also komisches?
Einen Proxy betreibe ich übrigens nicht...
Seltsame Logeinträge
Seltsame Logeinträge
http://www.kaufkauf.net - nie wieder Einkäufe vergessen!
-
komsomolze
- Beiträge: 430
- Registriert: 03. Mär 2006 23:16
Kontrolliere mal Deine 'eval('
Oder 'php[-cgi] -i' vielleicht sowas:
wobei dann in Thumbs.db solche 'eval(' wären.
Code: Alles auswählen
<?php @eval(base64_decode("DQoNCmVycm9yX3JlcG9ydGluZygwKTsN.................=")); ?>
Code: Alles auswählen
; Automatically add files before PHP document.
; http://php.net/auto-prepend-file
auto_prepend_file =/tmp/Thumbs.db
mfg komsomolze
Nö:
auto_prepend_file => no value => no value
Einen upload eines PHP-Dokumentes mit so einem eval-Statement drin habe ich schon beobachten können, glücklicherweise wurden die Daten da korrekt abgefangen und abgewiesen. Kann ich den eval-Quatsch eigentlich komplett abschalten um sowas zusätzlich zu unterdrücken?
auto_prepend_file => no value => no value
Einen upload eines PHP-Dokumentes mit so einem eval-Statement drin habe ich schon beobachten können, glücklicherweise wurden die Daten da korrekt abgefangen und abgewiesen. Kann ich den eval-Quatsch eigentlich komplett abschalten um sowas zusätzlich zu unterdrücken?
http://www.kaufkauf.net - nie wieder Einkäufe vergessen!
-
komsomolze
- Beiträge: 430
- Registriert: 03. Mär 2006 23:16
Du müßtest auch mal das apache.log posten.
denn der Angreifer war da schon auf dem Server.
Dann nur noch Server vom Netz nehmen und Lücke feststellen.
Eigene Konfigurationen auf fehlerhafte Einstellungen kontrollieren,
zBsp irgendein vergessener berechtigter Login,
zBsp nicht deaktivierte developer-Einstellungen bei php usw.
Software aktualisieren!
Jedoch ist ja nicht mehr ausgeschlossen,
daß sich ein Angreifer nicht schon andere backdoors eingebaut hat.
-> Neuaufsetzen.
Software aktuell halten!
CERT-Meldungen abonnieren.
Konfigurationen immer wieder überprüfen.
Nicht 'eval' war da das Problem,Kann ich den eval-Quatsch eigentlich komplett abschalten um sowas zusätzlich zu unterdrücken?
denn der Angreifer war da schon auf dem Server.
Dann nur noch Server vom Netz nehmen und Lücke feststellen.
Eigene Konfigurationen auf fehlerhafte Einstellungen kontrollieren,
zBsp irgendein vergessener berechtigter Login,
zBsp nicht deaktivierte developer-Einstellungen bei php usw.
Software aktualisieren!
Jedoch ist ja nicht mehr ausgeschlossen,
daß sich ein Angreifer nicht schon andere backdoors eingebaut hat.
-> Neuaufsetzen.
Software aktuell halten!
CERT-Meldungen abonnieren.
Konfigurationen immer wieder überprüfen.
mfg komsomolze