logwatch Angriffsmeldungen entschlüsseln

[Anonymous]

Hallo,

ich habe einen Server und setze unter anderem logwatch zur Überwachung ein. Neuerdings schreibt mir logwatch allerdings (unter anderem) folgendes (Apache Sektion):

Code: Select all

Attempts to use 1 known hacks were logged 30 time(s)
  phpmyadmin  

A total of 3 sites probed the server 
[...]

!!!! 6 possible successful probes 
 /pma/css/phpmyadmin.css.php?lang=de-utf-8&js_frame=left&num_dbs=0 HTTP Response 200 
 /pma/css/phpmyadmin.css.php?lang=de&js_frame=right&js_isDOM=1 HTTP Response 200 
 /pma/css/phpmyadmin.css.php?lang=de-utf-8&js_frame=right&js_isDOM=1 HTTP Response 200 
 //pma/css/phpmyadmin.css.php?lang=de&js_frame=right&js_isDOM=1 HTTP Response 200 
 /pma/css/phpmyadmin.css.php?js_frame=left&js_capable=0&js_isDOM=0&js_isIE4=0 HTTP Response 200 
 /pma/css/phpmyadmin.css.php?lang=de-utf-8&js_frame=right HTTP Response 200 

Ist das nun sicherheitskritisch? Ich habe mal ein paar der Links ausprobiert die unter successful probes angeben sind ausprobiert, ich kriege dort immer nur das Stylesheet von PHPMyAdmin zu sehen.

Kann ich dagegen irgendwas machen?

Server: Debian 3.1/Sarge + Apache2 + Php 5.1 (Backports) + MySql

[EdRoxter]

Sieht mir nach einer ganz normalen Benutzung von phpMyAdmin aus. Jedenfalls ist aus den übergebenen Werten nicht erkennbar, dass es sich um irgendeine Art eines Injection-Versuches handeln würde. Ich habe mich nie eingehender mit logwatch beschäftigt, kann daher also nur mutmaßen, dass hier eine etwas zu paranoide Alarmregel gegriffen hat.

IMHO kannst du dich beruht zurücklehnen und es auf logwatch schieben.

[smoove]

Wird wohl damit zusammen hängen, auch wenn bei den oben geloggten sachen nix bedenkliches bei ist:
http://www.securityfocus.com/bid/12645/exploit

Denke auch das es sich um "False Positives" handelt.

Auf jeden Fall mal phpMyAdmin auf den neusten Stand bringen - Wie immer halt ;)

mfg. smoove :)