Seltsamer Log Eintrag: POST http://127.0.0.1:6667/ HTTP/1.0

[cosmicboy]

Habe gestern vier seltsame Log-Einträge in meinen Apache Logs, mit denen ich überhaupt nichts anfangen kann:

Code: Select all

67.19.92.93 - - [14/Nov/2005:15:26:27 +0100] "POST http://127.0.0.1:6667/ HTTP/1.0" 200 1049 "-" "-"
67.19.92.93 - - [14/Nov/2005:15:26:30 +0100] "CONNECT 127.0.0.1:6667 HTTP/1.0" 200 1049 "-" "-"
67.19.92.93 - - [15/Nov/2005:02:50:02 +0100] "POST http://127.0.0.1:6667/ HTTP/1.0" 200 1049 "-" "-"
67.19.92.93 - - [15/Nov/2005:02:50:02 +0100] "CONNECT 127.0.0.1:6667 HTTP/1.0" 200 1049 "-" "-"

Das Problem ist, daß der Server nach dem ersten Post an Load zunahm und nach dem letzten Post in kurzer Zeit einige GB an Daten rausgehauen wurden und zwar über meinen eMail-Server, der noch - nachdem ich es bemerkte - noch einige 10000 eMails im Queue hatte.

Nur auf localhost läuft bei mir kein IRC. Was wurde das also gemacht?

Danke für eure Hilfe!

Thorsten

[athlux]

Läuft dein Apache mit mod_proxy?

[cosmicboy]

Läuft dein Apache mit mod_proxy?

Ja und nein! Das Modul ist geladen, aber in der Conf deaktiviert! Der wird nur für das shared SSL geladen.

Habe gerade mal auf meinem zweiten Server geschaut, wo definitv kein mod_proxy geladen ist und da kommen auch diese CONNECTS drin vor...

[Roger Wilco]

Habe gerade mal auf meinem zweiten Server geschaut, wo definitv kein mod_proxy geladen ist und da kommen auch diese CONNECTS drin vor...

Das ist normales "Hintergrundrauschen" bei einem (Web-) Server mit fester IP-Adresse.

[cosmicboy]

Dein Wort in Gottes Gehörgang ;)

Nur begann nach dem ersten og. CONNECT die erhöhte Last auf meinem Server was sich dann Nachts dadurch äusserte, daß 16 GB Mails auf einmal an zwei Mailserver in Brasilien geblasen wurden (in ca. 40 Minuten).

Als mir das dann am nächsten Tag auffiel, waren immer noch 1000ende eMails im Queue.

Lt. qMail-Logs, wurden die eMails über dein Apache in den Queue gegeben. Nur in den Apache Logs finde ich nur diese beiden seltsamen Einträge, genau dann, wo alles begann.

[Joe User]

Sieh Dir die Zugriffe kurz vor den CONNECTs an, vermutlich Käsescripte -> Entsorgen...

EDIT: Nutzt Du zufällig Awstats oder Ã?hnliches? KuhMüll gepatched?

[cosmicboy]

Sieh Dir die Zugriffe kurz vor den CONNECTs an, vermutlich Käsescripte -> Entsorgen...

EDIT: Nutzt Du zufällig Awstats oder Ã?hnliches? KuhMüll gepatched?

Vor den Connects kann ich nichts erkennen, ausser Cacti, welche den Server-Status abfragst.

Aber zu den letzten beiden Punkten kann ich nur zweimal ja sagen. Awstats-Zugriffe sehe ich nicht im Apache, traute mich aber auch nicht die (sichere?) 6.5 zu installieren... habe ich jetzt "nach-"sorglich getan!

Hat qMail ein Sicherheitsloch, wozu es einen Patch gibt den ich verpasst habe?

[Joe User]

Awstats-Zugriffe sehe ich nicht im Apache, traute mich aber auch nicht die (sichere?) 6.5 zu installieren...

Könnte folgende Lücke gewesen sein: http://www.idefense.com/application/poi ... rabilities

[cosmicboy]

Danke, JoeUser!

Klappt das in dem Link genannte, wenn AWStats mit htaccess geschützt wurde?

Wenn nicht, dann kommt bei mir nur ein ganz kleiner Personenkreis in Frage und den traue ich das alle nicht zu - erst recht nicht, Mailserver in Brasilien zu bombadieren!

Aber im Moment ist seit drei Tagen wieder alles ruhig! Hast du / hat jemand Erfahrung, wie oft ein angreifbares System ausgenutzt wird?

[Joe User]

Wenn es wirklich diese Lücke war, dann wurden die benötigten Befehle (Backdoor installieren und per "CONNECT 127.0.0.1:6667" beziehungsweise "POST 127.0.0.1:6667" starten) von AWStats beim Auswerten der Referrer (access_log) automatisch ausgeführt. Dagegen hilft keine .htaccess...