Serverangrif- Traffic

Post by **roloooo** » 2003-09-18 12:00

Erbitte dringend Hilfe!!!

Jemand hat auf meinem Server, an einem Tag 168864 MB Traffic erzeugt.

168864 MB = 1019 EUR

Jetzt muss ich in einem Monat über 1000 EUR an 1&1 bezahlen !!! Ich glaue ich spinne!!!

Hab sofort eine Traffic-Grenze gesetzt, so dass der Rooti sofort abgeschaltet wird, sobald 20 GB Traffic überschritten wurden, da es sich hier um den Starter-Root-Server handelt, wo 25 GB im Monat frei sind.

Hab in die Logs reingesehen, hab da so etwas gefunden, am Tag wo der Traffic kam:

212.227.110.246 - - [23/Jul/2003:15:45:23 +0200] "HEAD / HTTP\1.0" 400 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "GET ///server-info HTTP/1.0" 404 278
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "GET ///server-status HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /site/eg/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /doc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /~nobody/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "GET ///manual/ HTTP/1.0" 200 9349
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "GET ///php/php.exe?c:\boot.ini HTTP/1.0" 404 278
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /code/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /error/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD // HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "GET //carbo.dll HTTP/1.0" 404 275
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /technote/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:37 +0200] "HEAD /iisadmpwd/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:37 +0200] "HEAD /cgi-dos/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:37 +0200] "HEAD /scripts/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /Admin_files/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/a1stats/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET //quote.html?filename=../../../../../../../../../../../../../../../../etc/passwd&path_to_font_file=ariali.ttf HTTP/1.0" 404 276
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /foldoc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /ROADS/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /way-board/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET ///index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 200 838
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET //edit_image.php?dn=1&userfile=/etc/passwd&userfile_name=%20;ls;%20 HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET //ftp.pl?dir=../../../../../../ HTTP/1.0" 404 272
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cowsconf/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/cowsconf/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET //modules.php?name=Members_List&&sql_debug=1 HTTP/1.0" 404 277
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cg-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET ///directory.php?dir=%3Bmore%20/etc/passwd HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /examples/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:41 +0200] "HEAD /perl/ HTTP/1.0" 404 0

Was ist da passiert?

Brauche dringend Hilfe, jemand versucht mich zu schädigen

Was muss ich machen, wonach muss ich suchen, welche Logs muss ich noch auswerten?
Hab auch schon Anzeige gegen Unbekannt gestartet, aber bringt mir nix, wenn er duch Proxy rein gekommen ist.

Ausserdem habe ich jetzt plötzlich 19 GB auf der Platte belegt = 52 %, hab es im Putty durch "df" Commano geprüft. Vorher hatte ich ca. 8 GB, aber keine 19 GB belegt!!!! Was kann dassein?? Hat jemand meinen Server gecrackt und Filme drauf getan?

hab schon mit:

find -name *.mpg
find -name *.mp3
find -name *.iso
find -name *.image

versucht., nichts gefunden.

Werde den reinitialisieren müssen, wenn ich keine schnellen Tips finde.

Gruß

In Verzweiflung
Roloooo

Post by **mweigand** » 2003-09-18 12:03

durchschnaufen, tee trinken und nebenbei http://www.rootforum.org/faq/index.php? ... 04&lang=de lesen

Post by **roloooo** » 2003-09-18 12:10

Was kann man darau schließen?

212.227.110.246 - - [23/Jul/2003:15:45:23 +0200] "HEAD / HTTP\1.0" 400 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "GET ///server-info HTTP/1.0" 404 278
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "GET ///server-status HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /site/eg/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /doc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /~nobody/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "GET ///manual/ HTTP/1.0" 200 9349
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "GET ///php/php.exe?c:\boot.ini HTTP/1.0" 404 278
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /code/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /error/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD // HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "GET //carbo.dll HTTP/1.0" 404 275
212.227.110.246 - - [23/Jul/2003:15:45:34 +0200] "HEAD /technote/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:37 +0200] "HEAD /iisadmpwd/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:37 +0200] "HEAD /cgi-dos/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:37 +0200] "HEAD /scripts/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /Admin_files/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/a1stats/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET //quote.html?filename=../../../../../../../../../../../../../../../../etc/passwd&path_to_font_file=ariali.ttf HTTP/1.0" 404 276
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /foldoc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /ROADS/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /way-board/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET ///index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 200 838
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET //edit_image.php?dn=1&userfile=/etc/passwd&userfile_name=%20;ls;%20 HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET //ftp.pl?dir=../../../../../../ HTTP/1.0" 404 272
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cowsconf/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cgi-bin/cowsconf/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET //modules.php?name=Members_List&&sql_debug=1 HTTP/1.0" 404 277
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /cg-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "GET ///directory.php?dir=%3Bmore%20/etc/passwd HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:45:38 +0200] "HEAD /examples/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:45:41 +0200] "HEAD /perl/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:49:51 +0200] "HEAD / HTTP\1.0" 400 0
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "GET ///server-info HTTP/1.0" 404 278
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "GET ///server-status HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "HEAD /site/eg/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "HEAD /doc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "HEAD /~nobody/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "GET ///manual/ HTTP/1.0" 200 9349
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "GET ///php/php.exe?c:\boot.ini HTTP/1.0" 404 278
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "HEAD /code/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "HEAD /error/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "HEAD // HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:49:59 +0200] "GET //carbo.dll HTTP/1.0" 404 275
212.227.110.246 - - [23/Jul/2003:15:50:02 +0200] "HEAD /technote/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:02 +0200] "HEAD /iisadmpwd/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:02 +0200] "HEAD /cgi-dos/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:02 +0200] "HEAD /scripts/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:02 +0200] "HEAD /Admin_files/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:02 +0200] "HEAD /cgi-bin/a1stats/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:02 +0200] "GET //quote.html?filename=../../../../../../../../../../../../../../../../etc/passwd&path_to_font_file=ariali.ttf HTTP/1.0" 404 276
212.227.110.246 - - [23/Jul/2003:15:50:02 +0200] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:02 +0200] "HEAD /foldoc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "HEAD /ROADS/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "HEAD /way-board/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "GET ///index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 200 838
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "GET //edit_image.php?dn=1&userfile=/etc/passwd&userfile_name=%20;ls;%20 HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "GET //ftp.pl?dir=../../../../../../ HTTP/1.0" 404 272
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "HEAD /cowsconf/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "HEAD /cgi-bin/cowsconf/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "GET //modules.php?name=Members_List&&sql_debug=1 HTTP/1.0" 404 277
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "HEAD /cg-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "GET ///directory.php?dir=%3Bmore%20/etc/passwd HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:50:03 +0200] "HEAD /examples/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:06 +0200] "HEAD /perl/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:50:19 +0200] "HEAD / HTTP\1.0" 400 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD // HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "GET //carbo.dll HTTP/1.0" 404 275
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /technote/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /iisadmpwd/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /cgi-dos/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /scripts/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /Admin_files/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /cgi-bin/a1stats/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "GET //quote.html?filename=../../../../../../../../../../../../../../../../etc/passwd&path_to_font_file=ariali.ttf HTTP/1.0" 404 276
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /foldoc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /ROADS/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /way-board/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "GET ///index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 200 838
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "GET //edit_image.php?dn=1&userfile=/etc/passwd&userfile_name=%20;ls;%20 HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "GET //ftp.pl?dir=../../../../../../ HTTP/1.0" 404 272
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /cowsconf/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /cgi-bin/cowsconf/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "GET //modules.php?name=Members_List&&sql_debug=1 HTTP/1.0" 404 277
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /cg-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "GET ///directory.php?dir=%3Bmore%20/etc/passwd HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:51:39 +0200] "HEAD /examples/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:51:42 +0200] "HEAD /perl/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "GET ///server-info HTTP/1.0" 404 278
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "GET ///server-status HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /site/eg/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /doc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /~nobody/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "GET ///manual/ HTTP/1.0" 200 9349
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "GET ///php/php.exe?c:\boot.ini HTTP/1.0" 404 278
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /code/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /error/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD // HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "GET //carbo.dll HTTP/1.0" 404 275
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /technote/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /iisadmpwd/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:14 +0200] "HEAD /cgi-dos/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "HEAD /scripts/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "HEAD /Admin_files/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "HEAD /cgi-bin/a1stats/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "GET //quote.html?filename=../../../../../../../../../../../../../../../../etc/passwd&path_to_font_file=ariali.ttf HTTP/1.0" 404 276
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "HEAD /foldoc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "HEAD /ROADS/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "HEAD /way-board/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "GET ///index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 200 838
212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "GET //edit_image.php?dn=1&userfile=/etc/passwd&userfile_name=%20;ls;%20 HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:53:18 +0200] "GET //ftp.pl?dir=../../../../../../ HTTP/1.0" 404 272
212.227.110.246 - - [23/Jul/2003:15:53:18 +0200] "HEAD /cowsconf/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:18 +0200] "HEAD /cgi-bin/cowsconf/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:18 +0200] "GET //modules.php?name=Members_List&&sql_debug=1 HTTP/1.0" 404 277
212.227.110.246 - - [23/Jul/2003:15:53:18 +0200] "HEAD /cg-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:18 +0200] "GET ///directory.php?dir=%3Bmore%20/etc/passwd HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:53:18 +0200] "HEAD /examples/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:18 +0200] "HEAD /perl/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:53:43 +0200] "HEAD / HTTP\1.0" 400 0
212.227.110.246 - - [23/Jul/2003:15:55:05 +0200] "HEAD / HTTP\1.0" 400 0
212.227.110.246 - - [23/Jul/2003:15:55:15 +0200] "HEAD /// HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:55:15 +0200] "GET ///server-info HTTP/1.0" 404 278
212.227.110.246 - - [23/Jul/2003:15:55:15 +0200] "GET ///server-status HTTP/1.0" 404 280
212.227.110.246 - - [23/Jul/2003:15:55:15 +0200] "HEAD /site/eg/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:55:15 +0200] "HEAD /doc/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:55:16 +0200] "HEAD /~nobody/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:55:16 +0200] "GET ///manual/ HTTP/1.0" 200 9349
212.227.110.246 - - [23/Jul/2003:15:55:16 +0200] "GET ///php/php.exe?c:\boot.ini HTTP/1.0" 404 278
212.227.110.246 - - [23/Jul/2003:15:55:16 +0200] "HEAD /code/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:55:16 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:55:16 +0200] "HEAD /error/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:55:16 +0200] "HEAD /cgi-bin/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:55:16 +0200] "HEAD // HTTP/1.0" 200 0
212.227.110.246 - - [23/Jul/2003:15:55:16 +0200] "GET //carbo.dll HTTP/1.0" 404 275
212.227.110.246 - - [23/Jul/2003:15:55:16 +0200] "HEAD /technote/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:55:19 +0200] "HEAD /iisadmpwd/ HTTP/1.0" 404 0
212.227.110.246 - - [23/Jul/2003:15:55:19 +0200] "HEAD /cgi-dos/ HTTP/1.0" 404 0

Post by **mweigand** » 2003-09-18 12:22

bin kein profi... aber ich erkenne immerhin, dass du wohl phpnuke am laufen hast... deshalb mach ich mir auch gerade gedanken, ob es da nicht n sicherheitsloch gibt.... :?

Post by **roloooo** » 2003-09-18 12:26

212.227.110.246 - - [23/Jul/2003:15:53:18 +0200] "GET //modules.php?name=Members_List&&sql_debug=1 HTTP/1.0" 404 277

hier taucht nämlich auch die IP auf, aber was sind das für laufende Anfragen, die sich da in der Logdatei widerholen?

Bin Linux- Anfänger!

Post by **captaincrunch** » 2003-09-18 12:27

Ich will ja nichts sagen, aber die paar Apache-Logs, die du gepostet hast werden nicht so viel Traffic verursacht haben. Schon mal ein Tool a la ntop ausprobiert ?

Post by **s4fuser** » 2003-09-18 12:28

Sicherheitslöcher in PHP-Nuke gibt es einige.

Aber sowas:

Code: Select all

directory.php?dir=%3Bmore%20/etc/passwd

dürfte niemals funktionieren, wenn das open_basedir richtig gesetzt ist.
Ã?hnlich das hier:

Code: Select all

quote.html?filename=../../../../../../../../../../../../../../../../etc/passwd&path_to_font_file=ariali.ttf

Und die Logs sind vom Juli. Was sagen denn die Logs zum Zeitpunkt, wo der Traffic in die Höhe ging?

Post by **roloooo** » 2003-09-18 12:31

weiss nicht wo ich suchen soll.

da gibt es sooooooooooooooooooooooooooooo viele Logs!

access_log
error_log
suexec.log
messages_log
warn-log

was ist da relevant? alles??? das dauert ja Wochen die Auswertung, ich blick da nicht durch

Post by **captaincrunch** » 2003-09-18 12:33

Schau dir einfach mal mit ntop an, welcher Traffic überhaupt auf deiner Kiste ankommt. Das hilft schon mal dabei, den betroffenen Dienst erkennen zu können.

Post by **Joe User** » 2003-09-18 12:56

Moin,

kurzes googlen brachte unter Anderen folgendes hervor:
http://www.securiteam.com/unixfocus/5YP000A5GI.html
http://www.derkeiler.com/Mailing-Lists/ ... /0011.html

Post by **hirni** » 2003-09-18 13:05

Hm, bei dem Traffic (~170GB wenn ich richtigh geguckt hab) und bei dem HDD Platz, der mehr verbraucht wurde, würde ich mal schauen (netstat -aleep) ob da nen ungewöhnlicher Port offen ist, bzw. ob es vielleicht einen FTPUser gibt, der diverse Files im homedir hat ...
Schau doch mal mit du -sh /* welche Verzeichznisse besonders groß sind und such in denen dann weiter also z.B. du -sh /var/* usw.

Post by **alexander newald** » 2003-09-18 13:13

An einem Tag 168864 MB Traffic ?

Das sind ca 2 MB/s - Vorher kein Traffic und hinterher auch nicht? Ich würde erstmal Einspruch gegen diesen Traffic einreichen (Ã?bergabeeinschreiben) und die Richtigkeit anzweifeln.

Post by **hirni** » 2003-09-18 13:19

Naja ... so ein Warez FTP zieht ganz gut Traffic durch ... wenn da jemand Zugriff hatte, wo er was schreiben konnte und Movies oderso hoch geladen hat .... ich denke da sind 2MB/s nix, wenn das an der richtigen Stelle bekannt wird ...

btw. schau dir mal die /var/log/xferlog an ... da müssten die FTP Verbindungen gelogt werden ...

Post by **captaincrunch** » 2003-09-18 13:22

btw. schau dir mal die /var/log/xferlog an ... da müssten die FTP Verbindungen gelogt werden ..

... sofern da Scriptkiddies am Werk waren, die gar keine Ahnung haben ...

Post by **hirni** » 2003-09-18 13:25

Ja klar, aber wenn der Ahnung gehabt hat/hätte oder wie auch immer ... hätte er dann nicht auch die apache logs gesäubert!?

Post by **cfreak** » 2003-09-18 13:56

oder irgendjemand kann dich nicht leiden und du hast nen doss-angriff abbekommen.
wenn du nen irc-server betreibst und mal den falschen user bannst kann das leicht der fall sein..

Post by **outofbound** » 2003-09-18 14:22

Find erstmal raus, was für Daten da noch drauf sind...

du -hs * /

(dauert ne Weile)...

dann in die "verdächtigen" dirs rein und nochmal, bis du was gefunden hast...

Ich würde auf 0day Warez tippen, die haben nicht unbedingt eine Sinnvolle
Endung... dafür könnte auch sprechen, dass der Traffic nur auf einen Tag begrenzt war.

Ich denke, dass da einer mit nem Tool drüber gelaufen ist, und nach Std- Sicherheitslücken
gesucht hat, und auch gefunden.

In deinem Profil hab ich gelesen, dass du relativ unerfahren mit Linux bist. (Alte Posts).
Ich rate dir dringend, jemanden zu finden, der sich mit sowas auskennt, und dem über
die Schulter zu schauen, während er deine Kiste analysiert. (Notfalls mit screen die Console sharen).

Die Frage, die sich nun stellt: Wo sind die Backdoors versteckt.

Gruss,

Out

Post by **Joe User** » 2003-09-18 14:24

roloooo wrote:was ist da relevant?

relevant sind nur Zeilen, welche einen 2xx Statuscode beinhalten (vorletzte Zahlenkombination). In dem gepostetem Logauszug zum Beispiel:

Code: Select all

212.227.110.246 - - [23/Jul/2003:15:53:17 +0200] "GET ///index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 200 838

Wie bereits angemerkt, ist ein aktueller Logauszug (High-Traffic-Day +/- drei Tage, als Download) wehsentlich aufschlussreicher, als der von Dir gepostete.

Post by **cfreak** » 2003-09-18 14:53

Ich rate dir dringend, jemanden zu finden, der sich mit sowas auskennt, und dem über
die Schulter zu schauen, während er deine Kiste analysiert. (Notfalls mit screen die Console sharen).

dafür würd ich allerdings einen extra user anlegen ohne rechte und nur den weitergeben, dann screen öffnen (screen und der andere screen -x) und dann su benutzen.

anderenfalls könnte die person ne 2. ssh-session aufmachen und auf deinem server ...

wobei das ganze wegfällt wenn du die person im RL gut kennst

Post by **outofbound** » 2003-09-18 14:57

Natürlich sollte es eine RL bekannte Person sein!

Auf keinen Fall einem Nickname sowas zutrauen... kennen hin oder her!!!!!!!!!!!!!!!!!!

Das halte ich allerdings für den normalen Menschenverstand als eindeutig ;)

Gruss,

Out

Post by **alexander newald** » 2003-09-18 15:38

Und ich rate, zusätzlich dem Traffic zu widersprechen! Ist der Traffic vorher und nachher normal, kannst du auf einen Nachweis/Auflistung des Traffics sicher bestehen. Ach ja, und ich würde auch noch Anzeige gegen Unbekannt erstatten. Suchst du nur auf dem Server rum und unternimmst nichts, bekommst du einfach die Rechnung und du must zahlen...
Wahrscheinlich wirst du zwar trotz Widerspruch auch erstmal zahlen müssen, aber die Chancen etwas wieder zubekommen sollten höher sein, wenn man im Vorraus schon etwas unternommen hat!

So würde ich es machen.

Dies ist keine Rechtsberatung.

Post by **Joe User** » 2003-09-18 15:55

Moin,

...Anzeige gegen (un)bekannt, bei eigenem Verschulden?
Liest hier noch jemand die referenzierten URL, oder wird das Stochern im Nebel nun auch hier, im Security-Forum, zum 'Volkssport'?
Wieviele URL soll ich noch posten, damit sich der Nebel endlich legt?

kopfschüttelnd,
Markus

Post by **alexander newald** » 2003-09-18 17:00

Das mit dem eigenen Verschulden muss ich verpasst haben - Wo hat er das geschrieben?

Post by **outofbound** » 2003-09-18 17:05

@Alexander:

Das Widersprechen wird relativ wenig bringen, da ja ein Angriff tatsächlich passiert ist, und
die Tatsache, dass der Traffic erzeugt wurde in diesem Fall unstrittig ist.
(Das wurde in diesem Thread eindeutig belegt)... aber mit einer Kopie der Anzeige könnte
man es ja evtl. mal mit Stundung probieren.

@Joe User:
Die Tatsache, dass ein Exploit offen und ausgenutzt wurde, heisst noch immer nicht,
dass es eigenes Verschulden ist. Der Angreifer hat die Lücke ausgenutzt, und das ist
Strafbar. Punktum. Natürlich halte ich so ein verkonfiguriertes System auch für
grob Fahrlässig, aber das muss dann halt im Zivilverfahren ein Richter entscheiden, oder
halt geg. falls die Versicherung ;)

Für das Strafverfahren ist das irrelevant... ausser wir wären bei der Bundeswehr... da
gibts "Verführen zum Kameradendiebstahl" ;)

Und die Geschichte mit den Backdoors hat sich auch noch nicht erledigt.

IANAL ... und ganz klar keine Rechtsberatung.

Gruss,

Out

Post by **alexander newald** » 2003-09-18 19:47

Ohne jetzt schon wieder widersprechen zu müssen/wollen, mache ich es doch ;-) :

Wo ist belegt, dass es einen Angriff gab, der 165 GB Traffic verursacht hat? Die paar Logeinträge? Der Durchschnitt der Eintrag ist so um die 280 Byte groß, rechnen wir noch den Overhead dazu und veranschlagen mal 400 Byte sind das: 168864 MB * 1024 * 1024 / 400 / 3600 / 24 = 5123 Hits / Sekunde - Nicht wirklich!

Die paar Logfile Einträge haben den Traffic nicht verursacht - Evtl. ja vielleicht ein erfolgreicher Einbruch in den Server - Aber auch da gilt: Server herunterfahren (Rescue Modus), nichts an den Daten ändern, Widerspruch einlegen, Anzeige erstatten...

Hast du mitlerweile herausgefunden, wo der zusätzliche Plattenplatz verbraucht wird? Das wäre der nächste Anhaltspunkt. (Damit wir weiterraten können)

RootForum Community

Serverangrif- Traffic

Serverangrif- Traffic

Re: Serverangrif- Traffic

Was ist das?

Re: Serverangrif- Traffic

kann sein

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic

Re: Serverangrif- Traffic