error.log Einträge -Hacker versuche?

Post by **hartmutwg** » 2007-09-06 00:44

Ich habe mir eben mein Error log angesehen, eigentlich war dies immer mit wenigen Ausnahmen leer, darin befinden sich nun unmengen an Einträgen dieser Art:

Code: Select all

[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/administrator
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/administrator
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/administrator
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/administrator
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/PMA
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/mysql
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/xampp
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/typo3
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/mysqladmin
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/admin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/db
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/dbadmin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/web
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/admin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/admin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin2
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin1
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpadmin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/myadmin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.2.3
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.6
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.7-pl1
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.6.0
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.6.0-pl3

Das ist nur ein ganz kleiner Auszug!
Die IP ist natürlich auch nicht immer die selbe.
Mal wird in default nach allen möglichen Versionen, die es mal zum Download gab, von PhpMyAdmin gesucht mal nach db, database, sql, plesk usw. usw

Ausser dem Versuch von aussen da was zu finden kann ich mir diese Einträge nicht erklären, einer von euch?

Gruß
Hartmut[/code]

Post by **Joe User** » 2007-09-06 00:50

Stinknormaler Vulnscan, ungefährlich, sofern Du keine der löchrigen Applikationen/Versionen und/oder Erweiterungen betreibst.

Post by **hartmutwg** » 2007-09-06 08:14

Danke für die rasche Antwort.
Beruhigt, bleibt aber störend weil
1. was hat er/sie davon das zu machen? OK, ich denke halt eine schwachstelle suchen
2. Mein Error.log in 24 Stunden dadurch über 1MB groß wird und ich sinnvolle Fehlermeldungen zwischen all diesen Scan Einträgen suchen muss.

Gruß
Hartmut

Post by **daemotron** » 2007-09-06 08:43

Na ja, gegen die Größe der Logfiles hilft nur logrotate

Und was das herausfiltern wirklich interessanter Fehler und Warnungen angeht - dafür würde ich mir ein kleines Shell- oder Perlskript schreiben, dass Muster bekannter Versuche bestenfalls durchzählt und dann einen bereinigten Extrakt zur näheren Analyse zur Verfügung stellt.

Post by **tomotom** » 2007-09-06 22:25

jfreund wrote:Na ja, gegen die Größe der Logfiles hilft nur logrotate Und was das herausfiltern wirklich interessanter Fehler und Warnungen angeht - dafür würde ich mir ein kleines Shell- oder Perlskript schreiben, dass Muster bekannter Versuche bestenfalls durchzählt und dann einen bereinigten Extrakt zur näheren Analyse zur Verfügung stellt.

Das macht z.B. Ossec ganz vernünftig und informiert Dich dann bei entsprechenden Levels per Mail. Die Regeln sich in einander verschachteld und lassen sich gut anpassen. Die Massenscanns nach bekannten Installationen werden mit Ossec auf ein Minimum reduziert (Dann wachsen auch die Logfiles nicht so schnell).

RootForum Community

error.log Einträge -Hacker versuche?

error.log Einträge -Hacker versuche?

Re: error.log Einträge -Hacker versuche?

Re: error.log Einträge -Hacker versuche?

Re: error.log Einträge -Hacker versuche?

Re: error.log Einträge -Hacker versuche?