Apache Hack Angriff
pinO
ich hab seit einigen Tagen probleme mit meinem Apache Server zuhause.
Vielmehr macht mir da wer Probleme.
Es haben sich wohl ein paar Leute in den Kopf gesetzt über den Apache
root access zu bekommen.
Bisher ohne Erfolg und recht stümperhaft
Ein kleines Beispiel aus meiner access.log
212.10.108.146 - - [27/Jul/2003:17:30:29 +0200] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
oder
212.204.24.56 - - [29/Jul/2003:20:28:43 +0200] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
212.204.24.56 - - [29/Jul/2003:20:28:45 +0200] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
(und das bei einem Linux System)
Nun meine Frage:
gibt es eine Möglichkeit den Apache so zu konfiguriern (oder über ein
addon) das solche Anfragen zu einer Zugriffssperre führen?
ich löse das Problem derzeit über ein Shellscript das in der loggfile
nach Inhalten wie z.b root.exe grep und dann die source IP mittels
IPchains sperrt.
Auch hierzu hätte ich gerne eure Meinungen
pinO
Hauke Zuehl
^^^^
Realname bitte :)
Danke!
(Chappi und Bert: Ihr haltet eure Fresse!)
> Hallo Leute,
>
>
> 212.204.24.56 - - [29/Jul/2003:20:28:43 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
> 212.204.24.56 - - [29/Jul/2003:20:28:45 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
>
> (und das bei einem Linux System)
Ja und?
Juckt doch nicht...und dass das nicht mitgeloggt wird, kann man
konfigurieren.
>
> Nun meine Frage:
>
> gibt es eine Möglichkeit den Apache so zu konfiguriern (oder über ein
> addon) das solche Anfragen zu einer Zugriffssperre führen?
>
Pff...wozu?
Den Aufwand, nur weil ein Idiot Nimda hat? Noe, das waere _mir_ die Muehe
nicht wert :)
> ich löse das Problem derzeit über ein Shellscript das in der loggfile
> nach Inhalten wie z.b root.exe grep und dann die source IP mittels
> IPchains sperrt.
> Auch hierzu hätte ich gerne eure Meinungen
Overkill.
Ich zB habe mir mal eine IP rausgegriffen (lag im Raum GE IIRC) und dem
Tuennes ein paar Botschaften auf seinen Desktop gemalt. Der Typ war wohl
merkbefreit und kam am naechsten Tag wieder bei mir an...da hab ich es
gelassen. Obwohl....der hatte _sehr_ interessante Software / Dateien auf
seiner Win-Schuessel :)
>
>
> pinO
Gruss,
Hauke
--
Aus Ben Hur (1959): Wer nicht fuer Rom ist, ist gegen Rom
George W. Bush (2002): Wer nicht fuer uns ist, ist gegen uns
Peter Marbaise
Realname vergessen?
>
> Ein kleines Beispiel aus meiner access.log
>
> 212.10.108.146 - - [27/Jul/2003:17:30:29 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
>
> oder
>
> 212.204.24.56 - - [29/Jul/2003:20:28:43 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
> 212.204.24.56 - - [29/Jul/2003:20:28:45 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
>
ignorieren :-)
> (und das bei einem Linux System)
>
> Nun meine Frage:
>
> gibt es eine Möglichkeit den Apache so zu konfiguriern (oder über ein
> addon) das solche Anfragen zu einer Zugriffssperre führen?
>
> ich löse das Problem derzeit über ein Shellscript das in der loggfile
> nach Inhalten wie z.b root.exe grep und dann die source IP mittels
> IPchains sperrt.
die wechseln doch ihre IP's wie Unterhemden, also ist das wirklich kein
Schutz in dem Sinne.
Außerdem bis auf die lästigen Logeinträge kommt doch nicht mehr bei rum
wie ein 404
ciao Peter
--
WWW : http://www.marbaise.de/ Uptime: 73 Days 3 Hours
Apache und PHP installieren
http://www.tuxoche.de/apache.php3?l=de
Sebastian Niehaus
^^^^
*KOTZ*
> Nun meine Frage:
>
> gibt es eine Möglichkeit den Apache so zu konfiguriern (oder über ein
> addon) das solche Anfragen zu einer Zugriffssperre führen?
>
> ich löse das Problem derzeit über ein Shellscript das in der
> loggfile nach Inhalten wie z.b root.exe grep und dann die source IP
> mittels IPchains sperrt.
Das ist lustig, wenn der "Angreifer" Spoofing kann oder über den Proxy
eines großen Providers zugreift.
Self-DoS halt.
Thomas Skora
> Es haben sich wohl ein paar Leute in den Kopf gesetzt über den Apache
> root access zu bekommen.
> Bisher ohne Erfolg und recht stümperhaft
Das sind für gewöhnlich Würmer und leider normal heutzutage.
> Ein kleines Beispiel aus meiner access.log
>
> 212.10.108.146 - - [27/Jul/2003:17:30:29 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
>
> oder
>
> 212.204.24.56 - - [29/Jul/2003:20:28:43 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
> 212.204.24.56 - - [29/Jul/2003:20:28:45 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
Davon und noch von anderen Sachen hab ich genug in meinen Logs.
> gibt es eine Möglichkeit den Apache so zu konfiguriern (oder über ein
> addon) das solche Anfragen zu einer Zugriffssperre führen?
Wozu?
> ich löse das Problem derzeit über ein Shellscript das in der loggfile
> nach Inhalten wie z.b root.exe grep und dann die source IP mittels
> IPchains sperrt.
> Auch hierzu hätte ich gerne eure Meinungen
Ist mit HTTP zwar nicht so einfach, aber mit solchen
Fehlkonfigurationen kann man schöne Spielchen treiben. Dein DNS-Server
oder andere wichtige IPs machen sich sicher nicht so gut in der Liste
der gesperrten IPs.
Thomas
Christian Piontek
So Realname ist drin, erstmal sorry dafür.
Hmmm, an Spoofing hab ich noch gar nicht gedacht.
Das könnte ernsthaft den Genickbruch bedeuten :/
Aber wie ich den Threads entnehmen kann, sind diese Zugriffe nicht
wirklich gefährlich.
Also Script wieder aus.
Erstmal danke
Christian
Wolfgang Kaufmann
Hallo,
> Hmmm, an Spoofing hab ich noch gar nicht gedacht.
> Das könnte ernsthaft den Genickbruch bedeuten :/
Es ist bis zu einem gewissen Grad einfach nur hirnlos, darüber hinaus
wirds dann wirklich schlimm.
> Aber wie ich den Threads entnehmen kann, sind diese Zugriffe nicht
> wirklich gefährlich.
Versuche irgendwelche $cmd.exe's hervorzuzaubern, naja. Wenn Dich der
durch Massen solcher Einträge verunreinte Plattenspeicher stört, auch
dagegen gibts Abhilfe.
[offtopic: f'up2 -> poster]
Tschüss,
Wolfgang.
--
"Es gibt Diebe, die nicht bestraft werden und einem doch das Kostbarste
stehlen: die Zeit."
-- Napoleon Bonaparte
armin walland
> 212.10.108.146 - - [27/Jul/2003:17:30:29 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
gruess dich, wo warst du denn die letzten 36 monate?
:)
ignoriers, das sind bewurmte windoof kisten, die nach freunden suchen.
--
life, the universe and everything
http://www.dtch.org
Jens Schröder
Guido Hennecke schrieb am Dienstag, 29. Juli 2003 21:43:
>> gibt es eine Möglichkeit den Apache so zu konfiguriern (oder über ein
>> addon) das solche Anfragen zu einer Zugriffssperre führen?
>>
>> ich löse das Problem derzeit über ein Shellscript das in der loggfile
>> nach Inhalten wie z.b root.exe grep und dann die source IP mittels
>> IPchains sperrt.
>> Auch hierzu hätte ich gerne eure Meinungen
>
> Klar, so kann ich mal eben schnell alle User von AOL und T-Online von
> deinem Webangebot abschneiden.
Habe keine Ahnung davon. Aber warum werden t-online user abgeschnitten. Ich
bin auch bei t-online, ist das der gleiche Schund wie AOL?
Vielleicht kannst Du mir das kurz erklären.
Gruß,
Jens
--
"Ein Betriebssystem sie zu knechten, sie alle zu finden, ins Dunkle zu
treiben und ewig zu binden. Im Lande Microsoft wo die dunklen Schatten
drohen..."
Sebastian Niehaus
> Guido Hennecke schrieb am Dienstag, 29. Juli 2003 21:43:
[...]
> >> ich löse das Problem derzeit über ein Shellscript das in der loggfile
> >> nach Inhalten wie z.b root.exe grep und dann die source IP mittels
> >> IPchains sperrt.
> >> Auch hierzu hätte ich gerne eure Meinungen
> >
> > Klar, so kann ich mal eben schnell alle User von AOL und T-Online von
> > deinem Webangebot abschneiden.
>
> Habe keine Ahnung davon. Aber warum werden t-online user abgeschnitten. Ich
> bin auch bei t-online, ist das der gleiche Schund wie AOL?
> Vielleicht kannst Du mir das kurz erklären.
Die gehen gelegentlich über einen Proxy....
Kim Huebel
^^^^- Name wäre nicht schlecht -> siehe Signatur.
und Chappi: deinen Kommentar brauchen wir _NICHT_, denn _HIER_ ist
es eben so, dass wir gerne Namen sehen würden, und keine
sinnfreien Zeichenfolgen!
Hat das Thema mit Linux zu tun? Nur am Rande. Du schiebst hier Panik
wegen Dingen, die absolut irelevant für dich sind, weil sie a) für IIS
gebaut sind und b) nur Windows-Systeme gefährden. Also warum die Panik?
$Angreifer wird es immer wieder geben und für jeden Angriff so ne Panik
machen und Gegenmaßnahmen suchen, die im Ende nur dich selbst
beschäftigen und den Angreifer nicht das geringste jucken, wäre wohl
verschenkte Energie, die du vielleicht anderswo produktiver umsetzen kannst.
regards, Kim
--
Glaubt Chiap Zap kein Wort - Warum? Groups.google.de weiss es!
--------------------------------------------------------------------
Realnamen in der From:-Zeile sowie gültige Emailadressen erhöhen die
Chance gelesen zu werden und sinnvolle Antworten zu erhalten!
Oliver Schad
> Guido Hennecke schrieb am Dienstag, 29. Juli 2003 21:43:
>
>>> gibt es eine Möglichkeit den Apache so zu konfiguriern (oder über ein
>>> addon) das solche Anfragen zu einer Zugriffssperre führen?
>>>
>>> ich löse das Problem derzeit über ein Shellscript das in der loggfile
>>> nach Inhalten wie z.b root.exe grep und dann die source IP mittels
>>> IPchains sperrt.
>>> Auch hierzu hätte ich gerne eure Meinungen
>>
>> Klar, so kann ich mal eben schnell alle User von AOL und T-Online von
>> deinem Webangebot abschneiden.
>
> Habe keine Ahnung davon. Aber warum werden t-online user abgeschnitten.
> Ich bin auch bei t-online, ist das der gleiche Schund wie AOL?
> Vielleicht kannst Du mir das kurz erklären.
Neben der bemerkten Proxy-Sache, sollte man dynamische IPs vielleicht auch
nicht sperren - es sei denn man macht temporäre kurzfristige Sperrungen.
mfg
Oli
Christian Piontek
Ok. Ok
ich bin ja einsichtig.
Bin halt nur ein wenig vorsichtig geworden, seit irgendwer es mal
geschafft hat, sich über einen remote exploid root rechte zu verschaffen.
Ist ein dummes Gefühl, wenn das eigene root password nicht mehr
akzeptiert wird ;)
christian
Kim Huebel
> Ist ein dummes Gefühl, wenn das eigene root password nicht mehr
> akzeptiert wird ;)
Das Gefühl kenne ich... (auch wenn nicht durch gehackten Rechner,
sondern durch dumme Fehler in der pam-Konfiguration).
regards, Kim
f2p gesetzt
--
Glaubt Chiap Zap kein Wort http://slayer.templeofhate.com/faq/enezian/
----------------------------------------------------------------------
Chiap Zap
>
> pinO wrote:
> ^^^^- Name wäre nicht schlecht -> siehe Signatur.
> und Chappi: deinen Kommentar brauchen wir _NICHT_, denn _HIER_ ist
> es eben so, dass wir gerne Namen sehen würden, und keine
> sinnfreien Zeichenfolgen!
Mir völlig egal, ob "ihr" hier meinen Kommentar braucht oder
nicht.
WARUM wollt ihr gerne Namen sehen, ihr kriminelles Pack (siehe
Deine eigene Signatur)?
Nicht pinO ist eine sinnfreie Zeichenfolge, sondern Deine
Postings verletzen das Gesetz. Du weisst das. Und auch, dass
sowas richtig viel Geld kosten kann.
> ...
> Hat das Thema mit Linux zu tun? Nur am Rande. Du schiebst hier Panik
> wegen Dingen, die absolut irelevant für dich sind, weil sie a) für IIS
> gebaut sind und b) nur Windows-Systeme gefährden. Also warum die Panik?
>
> $Angreifer wird es immer wieder geben und für jeden Angriff so ne Panik
> machen und Gegenmaßnahmen suchen, die im Ende nur dich selbst
> beschäftigen und den Angreifer nicht das geringste jucken, wäre wohl
> verschenkte Energie, die du vielleicht anderswo produktiver umsetzen kannst.
Und was hat Deine Antwort mit Linux zu tun, wenn Du doch so
darauf bestehst?
Sieh Dich vor, Kim Hübel, man wird Dich kriegen.
Gruss
Chiap the Zap
--==oo==--
"What worries me is not the violence of the few, but the
indifference of the many" -M.L. King
Chiap Zap
>
> pinO wrote:
> ^^^^
> Realname bitte :)
> Danke!
>
> (Chappi und Bert: Ihr haltet eure Fresse!)
>
Halt Du Deine eigene Fresse, Zühlemann.
Es ist gefährlich, in Usenet-Foren seinen wahren Namen
anzugeben. Für Neulinge empfiehlt es sich generell, von Anfang
an unter Pseudonym zu posten. Denn der Schritt zur Offenlegung
seiner privaten Identität ist nicht umkehrbar und macht
denjenigen verletzlich gegenüber Drohungen und kriminellen
Aktivitäten, welche gegen ihn selbst, aber auch gegen seine
Familie gerichtet sein können. Auf diese Weise werden unbequeme
Schreiber zum Schweigen gebracht, was aber nur bei jemandem
funktioniert, der nicht pseudonym postet.
Die Konsequenz ist, dass Du Deinen privaten Namen nie im Usenet
veröffentlichen solltest. Wenn Dir jemand weiszumachen versucht,
dass es unhöflich wäre, unter Pseudonym zu schreiben, oder dass
Du deshalb keine Leser finden würdest, so weisst Du, dass er
Dich anlügt, um Dich zu einem Verhalten zu verführen, das Dich
kontrollierbar und unterdrückbar macht. ER SELBST ist einer
dieser Unterdrücker.
Chiap the Zap
--<leer>
come and get one in the yarbles, that is if you have any
yarbles, ya eunuch jelly thou
(A. J. in altnet.general)
Helmar Weser
> Kim Huebel wrote:
>
>>pinO wrote:
>>^^^^- Name wäre nicht schlecht -> siehe Signatur.
>> und Chappi: deinen Kommentar brauchen wir _NICHT_, denn _HIER_ ist
>> es eben so, dass wir gerne Namen sehen würden, und keine
>> sinnfreien Zeichenfolgen!
>
>
>
> Mir völlig egal, ob "ihr" hier meinen Kommentar braucht oder
> nicht.
>
> WARUM wollt ihr gerne Namen sehen, ihr kriminelles Pack (siehe
> Deine eigene Signatur)?
Ich sehe denn Sinn zum Subject nicht! Könntest du bitte deine Copy & Pasterei
bitte einer Parkuhr vortragen?
Alternativ/zusätzlich Dir einen Hohlblockstein an den Hals binden und in
ein Gewässer Deiner Wahl springen? Danke.
Achso ... bitte Fup beachten und nicht weiter füttern.
--
MfG Helmar - ICQ 124870567
GSM-Roaming weltweit und Infos zu O2-Germany mit Einstieg zum
O2-Germany Diskussionsforum bei !Yahoogroups
http://www.generic-link.de/ + http://www.roamingpartner.de/
Helmut Hullen
Du (do.not.reply) meintest am 31.07.03:
> Chiap Zap schrieb am 31.07.2003 02:44:
[...]
> Ich sehe denn Sinn zum Subject nicht! Könntest du bitte deine Copy
> & Pasterei bitte einer Parkuhr vortragen?
Hast Du keinen Filter?
Viele Grüße!
Helmut
Thomas Skora
> Chiap Zap schrieb am 31.07.2003 02:44:
> [...]
> Ich sehe denn Sinn zum Subject nicht! Könntest du bitte deine Copy &
> Pasterei bitte einer Parkuhr vortragen?
Könnten alle hier mal bitte damit aufhören Michael und seine Freunde
zu füttern? Irgendwann wirds dem schon langweilig.
Thomas
Peter Marbaise
>> WARUM wollt ihr gerne Namen sehen, ihr kriminelles Pack (siehe
>> Deine eigene Signatur)?
>
> Ich sehe denn Sinn zum Subject nicht! Könntest du bitte deine Copy &
> Pasterei bitte einer Parkuhr vortragen?
Könntest du einfach an Chiap und ok vorbeilesen oder ihn im Killfile
entsorgen und gut ist. :-(
ciao Peter
--
WWW : http://www.marbaise.de/ Uptime: 74 Days 21 Hours
Registered Linux User #62451 ICQ #174062271
http://counter.li.org
Eugen Ernst
> Wer ist "wir", wessen Sprecher bist Du?
Ich sehe immer nur deine Antworten, die entsprechenden Postings werden
weggeplonkt. Und meine Plonkliste ist bestimmt nicht sehr lang. Es sind
in der Tat nur eine handvoll größenwahnsinniger Spinner, die glauben das
Usenet gepachtet zu haben. Seit die wegfallen hat auch die Anzahl der
unflätigen Beleidigungen in diesem Forum drastisch abgenommen und die
technische Qualität der Postings zugenommen.
mfg
Eugen
Kim Huebel
> Ich sehe immer nur deine Antworten, die entsprechenden Postings werden
> weggeplonkt.
Endlich einer, ders verstanden hat :-) Auch wenn er mich nicht mehr
lesen wird...
> Und meine Plonkliste ist bestimmt nicht sehr lang. Es sind
> in der Tat nur eine handvoll größenwahnsinniger Spinner, die glauben das
> Usenet gepachtet zu haben.
Diese Aussage nehme ich _nicht_ persönlich, da sie nicht persönlich an
mich gerichtet wurde.
> Seit die wegfallen hat auch die Anzahl der
> unflätigen Beleidigungen in diesem Forum drastisch abgenommen und die
> technische Qualität der Postings zugenommen.
Das sicherlich nicht, jedoch die Wahrnehmung dieser findet nicht mehr
statt... er lebt halt auch in seiner eigenen, idealisierten Welt.
regards, Kim, fup gesetzt
--
Glaubt Chiap Zap kein Wort - groups.google.de weiss warum!