RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

merkwürdige Einträge in error_log

https://www.rootforum.org/forum/viewtopic.php?t=26676

Page 1 of 1

merkwürdige Einträge in error_log

Posted: 2004-05-24 18:40
by deacon frost
Hi,

mein Server hatte sich heute bzw. gestern verabschiedet. Da wichtige Kunden-Sites nicht erreichbar waren, beschränkte ich mich zunächst auf einen Reboot.

Nun studiere ich das Log-File und finde Einträge, die mir nichts sagen:
[Sun May 23 04:30:51 2004] [error] [client 70.240.184.42] request failed: URI too long
ist wohl nix Schlimmes, aber was bedeutet das?
[Sun May 23 09:45:21 2004] [notice] child pid 24761 exit signal Segmentation fault (11)
[Sun May 23 18:40:02 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/root.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/MSADC/root.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/c/winnt/system32/cmd.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/d/winnt/system32/cmd.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] xx unrecognized FrontPage request: /var/www/html/_vti_bin
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] web root owned by privileged user: /var/www/html/_vti_bin
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun May 23 18:40:03 2004] [error] [client IP zensiert] File does not exist: /var/www/html/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
[Sun May 23 18:40:07 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..Á../winnt/system32/cmd.exe
[Sun May 23 18:40:07 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..�¯../winnt/system32/cmd.exe
[Sun May 23 18:40:07 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..ÁÅ?../winnt/system32/cmd.exe
[Sun May 23 18:40:07 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Sun May 23 18:40:08 2004] [error] [client IP zensiert] File does not exist: /var/www/html/scripts/..%2f../winnt/system32/cmd.exe
[Sun May 23 18:44:46 2004] [notice] child pid 30870 exit signal Segmentation fault (11)
War das ein Hack-Angriff?

Re: merkwürdige Einträge in error_log

Posted: 2004-05-24 18:51
by wgot
Hallo,

das sind Angriffe auf Sicherheitslöcher in Windows-Servern. Meist ist der Angreifer selbst ein verseuchter Windows-Server.

Gruß, Wolfgang

Re: merkwürdige Einträge in error_log

Posted: 2004-05-24 19:04
by compositiv
Wobei ich mir bei den Einträgen schonmal meine Intrusion Detection Logs genauer anschauen würde, auch wenn alle Einträge vorher Exploits für Windows-Maschinen sind.

Re: merkwürdige Einträge in error_log

Posted: 2004-05-24 19:04
by bungeebug
Klappt aber auch nur wenn du nen IIS am Start hast.

Re: merkwürdige Einträge in error_log

Posted: 2004-05-24 19:42
by deacon frost
IIS hab ich nicht laufen...hmm aber kann das zum Absturz führen???

was bedeutet das mit dem URI too long?

Re: merkwürdige Einträge in error_log

Posted: 2004-05-24 19:53
by wgot
Hallo,

guck mal in die access_log, da siehst Du Aufrufe mit sehr langen URLs. Und wenn's zu lang wird, bringt der Linux-Apache eine Fehlermeldung, während der (ungepatchte) Windows-Apache den Code am Ende der URL ausführt.

Gruß, Wolfgang

Re: merkwürdige Einträge in error_log

Posted: 2004-05-24 22:13
by compositiv
Im besonderen auf Einträge zwischen [Sun May 23 18:40:08 2004] und [Sun May 23 18:44:46 2004] achten.

Der Segmentation Fault am Schluss würde mir, wie geschrieben, Sorgen machen, auch wenn selbst Scriptkiddies i.d.R. vorher auf die Version prüfen.

Re: merkwürdige Einträge in error_log

Posted: 2004-05-25 09:55
by captaincrunch
auch wenn selbst Scriptkiddies i.d.R. vorher auf die Version prüfen.
Auch wenn's hier jetzt eigentlich OT ist: i.d.R. tun sie es eben nicht, sondern lassen ihre "Tools" über ganze Netzsegmente laufen, in der Hoffnung, verwundbare Rechner zu finden.
All times are UTC+01:00
Page 1 of 1