expertenaustausch > comp.os.* > comp.os.os2.networking

Michael Massenberg (30.06.2004, 00:18)
Moin!

Kaum tut hier der Indianer rödeln, füllt sich die Logdatei mit solch
endlosen Einträgen. Bei Web/2 gibt es diese Einträge nicht. :-(

83.169.145.181 - - [29/Jun/2004:21:45:13 +0200] "SEARCH
/\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\
[...]
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 414 355 "-" "-"

Was ist dies, bzw. was wird hier versucht zu erreichen? Google hat mich
da nicht groß aufklären können, außer das es ein Exploid für/gegen einen
M$-Server ist.

Lässt sich beim Apachen verhindern das so ein Mist in die Logdatei
geschrieben wird?

Interessant ist außerdem, das es eine IP-Adresse ist, welche aus dem
internen Netz von Kabel-Deutschland stammt. Meine aktuelle IP ist z.B.
83.169.190.121.

Weiß derjenige garnichts von seinem Pech, oder ist er eines dieser
Scriptkiddis? Wenn letzteres sollte ich wohl mal meinen ISP kontaktieren.

Bye/2 Massi
Daniel Krueger (30.06.2004, 01:53)
Michael Massenberg schrieb:
> Kaum tut hier der Indianer rödeln, füllt sich die Logdatei mit solch
> endlosen Einträgen. Bei Web/2 gibt es diese Einträge nicht. :-(
> 83.169.145.181 - - [29/Jun/2004:21:45:13 +0200] "SEARCH
> /\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\
> [...]
> x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 414 355 "-" "-"


Das kenn ich. Geht bei mir jetzt schon eine Weile.

> Was ist dies, bzw. was wird hier versucht zu erreichen? Google hat mich
> da nicht groß aufklären können, außer das es ein Exploid für/gegen einen
> M$-Server ist.


Heute oder gestern war auf auf heise.de zu erfahren, dass man mit
überlangen URLs den Apache 2.0.x aus dem Tritt bringen kann (siehe
).

Ich hab noch Version 1.3.x laufen, da ich SSL benötige.

> Lässt sich beim Apachen verhindern das so ein Mist in die Logdatei
> geschrieben wird?


Hab ich schon versucht. Funktioniert leider nicht. Man kann zwar
konfigurieren, dass bestimmte Requests nicht geloggt oder woandershin
geloggt werden sollen, doch diese zu langen URLs gelangen nicht bis zu
dem Filter.

> Interessant ist außerdem, das es eine IP-Adresse ist, welche aus dem
> internen Netz von Kabel-Deutschland stammt. Meine aktuelle IP ist z.B.
> 83.169.190.121.
> Weiß derjenige garnichts von seinem Pech, oder ist er eines dieser
> Scriptkiddis? Wenn letzteres sollte ich wohl mal meinen ISP kontaktieren.


Keine Ahnung. Hab ich noch nicht weiter ver-/ge-sucht. Nur IP-Adressen
von Nimda oder CodeRed Wirten sind interessant (da kann man dann den
Rechner ausspionieren). ;-)

Tschüß
Daniel
Michael Massenberg (30.06.2004, 09:29)
Moin!

Daniel Krueger schrieb:
> Das kenn ich. Geht bei mir jetzt schon eine Weile.
> Heute oder gestern war auf auf heise.de zu erfahren, dass man mit
> überlangen URLs den Apache 2.0.x aus dem Tritt bringen kann (siehe
> ).


Ahja, interessant. Da wird ein Patch erwähnt, nur wie spiele ich den ein?

>> Lässt sich beim Apachen verhindern das so ein Mist in die Logdatei
>> geschrieben wird?

> Hab ich schon versucht. Funktioniert leider nicht. Man kann zwar
> konfigurieren, dass bestimmte Requests nicht geloggt oder woandershin
> geloggt werden sollen, doch diese zu langen URLs gelangen nicht bis zu
> dem Filter.


Ich habe mal folgendes in in die httpd_conf eingetragen um den/die
Störenfriede extra mitzuloggen:

SetEnvIf REMOTE_ADDR ^83\.169\.145\.181 badguy
CustomLog logs/badguy_log env=badguy

Die Logdatei wird zwar angelegt, aber es wird nichts mitgeloggt, nur die
Variable "env=badguy" taucht dort jedesmal neu auf. :-\ Habe ich mal
wieder was vergessen?

>> Interessant ist außerdem, das es eine IP-Adresse ist, welche aus dem
>> internen Netz von Kabel-Deutschland stammt. Meine aktuelle IP ist z.B.
>> 83.169.190.121.
>> Weiß derjenige garnichts von seinem Pech, oder ist er eines dieser
>> Scriptkiddis? Wenn letzteres sollte ich wohl mal meinen ISP kontaktieren.


Ich tue das einfach mal. Mehr als nur Schulterzucken kann ja nicht
passieren.

Bye/2 Massi
Michael Massenberg (30.06.2004, 13:02)
Hi!

Daniel Krueger schrieb:
> Hab ich schon versucht. Funktioniert leider nicht. Man kann zwar
> konfigurieren, dass bestimmte Requests nicht geloggt oder woandershin
> geloggt werden sollen, doch diese zu langen URLs gelangen nicht bis zu
> dem Filter.


Das scheint tatsächlich so zu sein. Mein Filter:

SetEnvIf Request_URI "/\x90\x02" worm
CustomLog logs/access_log combined env=!worm
CustomLog logs/worm_log combined env=worm

zeigt nicht die geringste Wirkung. :-\

Ist es korrekt, das anstelle der gefilterten Daten dann das "env=!worm"
in der Logdatei steht?

Bye/2 Massi
Klaus Lehmann (05.09.2004, 22:16)
Michael Massenberg wrote:

massi, massi ;-)

n'aabend
> Moin!


> Kaum tut hier der Indianer rödeln, füllt sich die Logdatei mit solch
> endlosen Einträgen. Bei Web/2 gibt es diese Einträge nicht. :-(

sei doch froh. apache ist halt aussagekräftiger. du kannst aber bei
apache ALLES einstellen, was du willst. apache teilt dir mit, wer da mit
welchen GET-befehlen an deinen süssen server will.

nimda, code_red, und wie der mist halt heisst. sie denken, du hast nen
Micky-server (IIS). das sind scriptkiddies oder so.

hier mal ein auszug aus awstats (einem ziemlichen guten
www-auswertungsprogram für apache:)
Nimda family worm IIS 54 54.29 KB 11.08.2004 - 18:35
Code Red family worm IIS 6 6.19 KB 30.08.2004 - 19:31
Sumthin worm ? 2 2.06 KB 04.08.2004 - 12:14

ich habe derzeit auf meinem server 2-4 anfragen pro tag.

DARÜBER braucht ihr euch KEINE sorgen zu machen! das betrifft nur MS!

den apache(2) immer schön updaten! am besten auch auf die 2.48 oder
größer gehen (das geht aber z.b. nur mit suse 9.0 oder größer). und
immer schön YOU (bei suse) machen.; ebenso php/perl usw.

> 83.169.145.181 - - [29/Jun/2004:21:45:13 +0200] "SEARCH
> /\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\
> [...]
> x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 414 355 "-" "-"
> Was ist dies, bzw. was wird hier versucht zu erreichen? Google hat mich
> da nicht groß aufklären können, außer das es ein Exploid für/gegen einen
> M$-Server ist. genau!


> Lässt sich beim Apachen verhindern das so ein Mist in die Logdatei
> geschrieben wird?

ja. s.o.
aber, lass es drin stehen. in der logdatei steht ja die adresse von dem
mistkerl!

> Interessant ist außerdem, das es eine IP-Adresse ist, welche aus dem
> internen Netz von Kabel-Deutschland stammt. Meine aktuelle IP ist z.B.
> 83.169.190.121.

mit deinem wissen, welche ip-addresse es ist, kannst du zu den
authorities gehen, und eben dem jenigen schwierigkeiten machen.
alledings? warum? das ist doch als amüsant zu betrachten.

ich würde lieber ein email an den verantwortlichen zu der ip-adresse
schreiben, mit den wortlaut: irgendjemand von dieser adresse macht
unfug. ist ihr server evtl geknackt worden? also übernommen? oder kommt
der angriff auf MEINEN rechner wirklich von ihrem server?
sowas in der art.....

ich habe vor monaten englische-sprachige emails meistens an
taiwanesische server-admins geschrieben. nie ne antwort bekommen.
eher haben die angriffe auf meinen server zugenommen (?).

hier mal ein auszug, wem die ip (=83.169.190.121) gehört:
da hast du unten auch die ip-adresse!
die kannst du sogar anrufen.

(und wenns dann wirklich interessant wird, hast du dein apache_log, mit
uhrzeit, und allem! wichtig: mach ne zeitsynchro!!! z.b. mit einer der
öffentlichen zeitserver)

inetnum: 83.169.190.0 - 83.169.191.255
netname: KABEL-DEUTSCHLAND-INTERNAL-SERVICES
descr: PROVIDER Local Registry
descr: Kabel Deutschland Breitband Service GmbH
country: DE
admin-c: FM464-RIPE
tech-c: HKD4-RIPE
tech-c: DH1455-RIPE
status: ASSIGNED PA
mnt-by: MNT-KABELDEUTSCHLAND
changed: fred.mattig 20040629
source: RIPE

route: 83.169.190.0/23
descr: KABEL-DEUTSCHLAND
origin: AS31334
mnt-by: MNT-KABELDEUTSCHLAND
changed: hostmaster 20040624
source: RIPE

person: Fred Mattig
address: Kabel Deutschland Breitband Services GmbH
address: Germaniastr. 17
address: 12099 Berlin
address: DE
phone: +49 30 4193 3200
fax-no: +49 391 555 70963
e-mail: fred.mattig
nic-hdl: FM464-RIPE
mnt-by: MNT-KABELDEUTSCHLAND
changed: hostmaster 20040624
source: RIPE

person: Dirk Haegebarth
address: Kabel Deutschland Breitband Services GmbH
address: Germaniastr. 17
address: 12099 Berlin
address: DE
phone: +49 30 4193 3201
fax-no: +49 391 555 70708
e-mail: dirk.haegebarth
nic-hdl: DH1455-RIPE
mnt-by: MNT-KABELDEUTSCHLAND
changed: hostmaster 20040624
source: RIPE

person: Hostmaster Kabel Deutschland
address: Kabel Deutschland Breitband Services GmbH
address: Germaniastr. 17
address: 12099 Berlin
address: DE
phone: +49 30 4193 0
e-mail: hostmaster
nic-hdl: HKD4-RIPE
mnt-by: MNT-KABELDEUTSCHLAND
changed: hostmaster 20040624
source: RIPE

> Weiß derjenige garnichts von seinem Pech, oder ist er eines dieser
> Scriptkiddis? Wenn letzteres sollte ich wohl mal meinen ISP kontaktieren.

naja, es uss kein kiddie sein.
das ziel ist, die übernahme ds servers (in den letzten ct's waren einige
gute artikel zum thema)

noch'n tip:
bei suse gibts nen stündlichen systemcheck.
der loggt die einbruchsversuche, die abseits von apache kommen.
z.b. ssh, ftp (alle loginversuche!)
DAS ist viel ernster!!!!
man kann anhand der versuche sehen, wo man sein eigenes system noch
sicherer machen sollte.

z.b. nur 1 versuch bei pwd_falsch. dann 10min warten oder so!
statt 8-stelliger länge des pwd, vielleicht ne 15stellige länge?
u.v.m.

> Bye/2 Massi


gruß
klaus
#
Ähnliche Themen