merkwürdige Einträge in error_log

[deacon frost]

Hi,

mein Server hatte sich heute bzw. gestern verabschiedet. Da wichtige Kunden-Sites nicht erreichbar waren, beschränkte ich mich zunächst auf einen Reboot.

Nun studiere ich das Log-File und finde Einträge, die mir nichts sagen:

[Sun May 23 04:30:51 2004] [error] [client 70.240.184.42] request failed: URI too long

ist wohl nix Schlimmes, aber was bedeutet das?

[Sun May 23 09:45:21 2004] [notice] child pid 24761 exit signal Segmentation fault (11)

[Sun May 23 18:40:02 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/root.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/MSADC/root.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/c/winnt/system32/cmd.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/d/winnt/system32/cmd.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] xx unrecognized FrontPage request: /var/www/html/_vti_bin
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] web root owned by privileged user: /var/www/html/_vti_bin
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
[Sun May 23 18:40:07 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..Á../winnt/system32/cmd.exe
[Sun May 23 18:40:07 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..�¯../winnt/system32/cmd.exe
[Sun May 23 18:40:07 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..ÁÅ?../winnt/system32/cmd.exe
[Sun May 23 18:40:07 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Sun May 23 18:40:08 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..%2f../winnt/system32/cmd.exe
[Sun May 23 18:44:46 2004] [notice] child pid 30870 exit signal Segmentation fault (11)

War das ein Hack-Angriff?

[wgot]

Hallo,

das sind Angriffe auf Sicherheitslöcher in Windows-Servern. Meist ist der Angreifer selbst ein verseuchter Windows-Server.

Gruß, Wolfgang

[compositiv]

Wobei ich mir bei den Einträgen schonmal meine Intrusion Detection Logs genauer anschauen würde, auch wenn alle Einträge vorher Exploits für Windows-Maschinen sind.

[bungeebug]

Klappt aber auch nur wenn du nen IIS am Start hast.

[deacon frost]

IIS hab ich nicht laufen...hmm aber kann das zum Absturz führen???

was bedeutet das mit dem URI too long?

[wgot]

Hallo,

guck mal in die access_log, da siehst Du Aufrufe mit sehr langen URLs. Und wenn's zu lang wird, bringt der Linux-Apache eine Fehlermeldung, während der (ungepatchte) Windows-Apache den Code am Ende der URL ausführt.

Gruß, Wolfgang

[compositiv]

Im besonderen auf Einträge zwischen [Sun May 23 18:40:08 2004] und [Sun May 23 18:44:46 2004] achten.

Der Segmentation Fault am Schluss würde mir, wie geschrieben, Sorgen machen, auch wenn selbst Scriptkiddies i.d.R. vorher auf die Version prüfen.

[captaincrunch]

auch wenn selbst Scriptkiddies i.d.R. vorher auf die Version prüfen.

Auch wenn's hier jetzt eigentlich OT ist: i.d.R. tun sie es eben nicht, sondern lassen ihre "Tools" über ganze Netzsegmente laufen, in der Hoffnung, verwundbare Rechner zu finden.