Webserver Logs

  • hi


    mir ist aufgefallen, dass in den logdateien meines webservers häufig einträge wie unten gelistet auftauchen. bisher ist nichts schlimmes passiert, aber ich wollte trotzdem mal fragen, ob diese aufrufe eine gefahr sein könnten:



    gerade zweiteres sieht mir doch irgendwie nach einem bufferoverflow versuch aus. das ganze erstreckt sich über einige logfile seiten. das hier ist nur ein auszug. das system ist ein openbsd mit der eigenen apache implementation.


    irgendwelche comments/erfahrungen zu dem thema?


    ganto


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

  • Ja.


    62.219.250.81: Mach dir keine Sorgen, das ist eine verwurmte Windowskisten.
    83.117.56.126: Dies ist, so glaube ich, ein Exploit, welcher für IIS (oder ISS? ;)) konzipiert wurde. Stellt also auch keine Gefahr dar. (Bin mir jedoch nicht sicher, ob's wirklich der Exploit ist. Könnte auch ein WebDAV-Exploit sein sein..)


    Du kannst die beiden IPs ja bei den entsprechenden Abuse-Officers melden. ;)


    Falls du dich mit regexp ein bisschen auskennst, kannst du ja einen Filter bauen.


    Gruäss,
    chrlen.

  • Zitat

    Original von chrlen
    62.219.250.81: Mach dir keine Sorgen, das ist eine verwurmte Windowskisten.

    sieht aber auch nach einer attacke auf einen IIS aus. der versucht ein DOS fenster zu öffnen. diese log meldungen hab ich auch andauernd auf meinem apache. die sollen ruhig versuchen ein DOS fenster auf linux zu öffnen.... :D

  • Hallo,


    Das sind wie schon gesagt Attacken von Skript-Kiddies/Würmern die mit Exploits versuchen eine Kommandozeile auf deiner Kiste zu öffnen um dann irgendwelchen Unfug zu treiben.
    Die GET's des ersten Rechners versuchen direkt über die cmd-Binary auf der Kiste zu wirken (geht seit IIS4.0 nur noch bei sehr dummen Sysops).
    Das GET des zweiten Rechners benutzt einen älteren Exploit um deinen Rechner zu kompromiitieren.
    Solange dein Rechner, bzw. dein IIS up-to-date sind musste dir vor solchen Attacken keine Sorgen machen. Die meisten stammen von irgendwelchen Skriptkiddies die sich neue FTPs für ihre FXP-Boards erhacken wollen und dabei ganze IP-Ranges nach Webservern (also Rechner die auf Port 80 listenen) suchen und bei Matches diese mit ihren Standart-Exploits füttern.


    - Arrhok

  • hehe, ms wird angegriffen, wo es nur geht :D


    würde mich noch wunder nehmen, ob es auch solche "standard-attacken" gegen den apache gibt.


    ganto


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

  • Zitat

    Original von Ganto
    würde mich noch wunder nehmen, ob es auch solche "standard-attacken" gegen den apache gibt.


    Gegen diverse PHP-Scripte gibt es das seit ein paar Tagen/Wochen.