Angriff auf apache!!!

Rund um die Sicherheit des Systems und die Applikationen
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Angriff auf apache!!!

Post by gros »

Tach,

Folegens ich werde von egent einem Kedy heim gesucht mein server wird immer versucht durch mehrere Wegen einzurdringen Gotzerdang erfolglos.

Aber ein Problem habe ich dieses betrifft denn webserver apache.

Diese Person schisst ihn ab mit welchen Programm weiß ich schon.

Entweder geht der apsche ganz off der er abstürtzt oder er läuft nach dem angriff wieder immer unterschiedlich.

Linux suse 8.1
Apache/1.3.26 Server

folgens in der access_log zur finden:

Es ist immer die gleiche ip.

Code: Select all

81.*** - - [28/Mar/2005:09:34:50 +0200] "-" 408 -
81.*** - - [28/Mar/2005:09:34:51 +0200] "-" 408 -
81.*** - - [28/Mar/2005:09:34:51 +0200] "-" 408 -
81.*** - - [28/Mar/2005:09:34:51 +0200] "-" 408 -
81.*** - - [28/Mar/2005:09:34:52 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:52 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:53 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:53 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:53 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:53 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:54 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:54 +0200] "-" 408 -
81.*** - - [28/Mar/2005:09:34:54 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:54 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:54 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:54 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:54 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:54 +0200] "-" 408 -
81.*** - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.*** - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:55 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.*** - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.*** - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.***  - - [28/Mar/2005:09:34:56 +0200] "-" 408 -
81.*** - - [28/Mar/2005:09:35:13 +0200] "-" 408 -
Last edited by gros on 2005-03-29 09:14, edited 1 time in total.
Top
chris76
Posts: 1878
Joined: 2003-06-27 14:37
Location: Germering
 

Re: Angriff auf apache!!!

Post by chris76 »

Und wo ist hier Deine Frage?
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: Angriff auf apache!!!

Post by Joe User »

Gros wrote:Folegens ich werde von egent einem Kedy heim gesucht mein server wird immer versucht durch mehrere Wegen einzurdringen Gotzerdang erfolglos.

Code: Select all

inetnum:      81.216.64.80 - 81.216.64.87
netname:      SONG-QNET
descr:        IRC Infrastructure
descr:        NOTE: 81.216.64.82 runs the 'PROXYSCANNER' for the QuakeNet IRC Network.
descr:        It will only scan you if you connect to the IRC network.
descr:        For More Information see:
descr:        http://www.quakenet.org/openproxies.html
descr:        If you were scanned by that IP and believe you do not connect to
descr:        QuakeNet - We suggest you get your system checked by a
descr:        Virus/Trojan Scanner.
:?:
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

Die ip oben das ist ja was anders. Die ist da so rein kommen.

Meine Frage wahr uch ich so was verhindern kann.
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

Ich weiß ganz genau das es einer wahr weill mir dieser das erzält hatte.

Er hatte mich angeschriben und meinte er lege mein server lahm und so weiter.
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: Angriff auf apache!!!

Post by Joe User »

Die IP ist Dir nicht einfach "so rein gekommen" und das Verfälschen/Anonymisieren des Logs ist in diesem Fall absolut kontraproduktiv.

Temporäre Hilfe: Timeouts reduzieren und keep-alive abschalten.

BTW: Ohne vollständige/saubere Logs ist weitere Hilfe meinerseits nicht zu erwarten...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
superuser1
Posts: 291
Joined: 2003-11-26 18:43
Location: earth
 

Re: Angriff auf apache!!!

Post by superuser1 »

Hi...

1) Server vom Netz nehmen
2) Virenscanner und chkrootkit drüberlaufen lassen
3) Sicherheitsupdates einspielen
4) evtl. Kernel aktualisieren (+GRSec)
5) Manuals lesen und Software richtig konfigurieren

:roll:
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

Virenscanner und chkrootkit drüberlaufen lassen schon gemacht.

Sicherheitsupdates einspielen schon gemacht.

Ich weiß ja mit welchem Programm das wahr.

Das heißt wwwhack.exe
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

Joe User wrote:Die IP ist Dir nicht einfach "so rein gekommen" und das Verfälschen/Anonymisieren des Logs ist in diesem Fall absolut kontraproduktiv.

Temporäre Hilfe: Timeouts reduzieren und keep-alive abschalten.

BTW: Ohne vollständige/saubere Logs ist weitere Hilfe meinerseits nicht zu erwarten...
Danke schon mal für den post.

Ich habe diese Ã?nderungen gemacht aber haben nix geholfen.
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

Also das Problem haben auch viele Provider webhoster und auch große internetseiten.

Es wahr aber kein Eingriff in denn server @ superuser1

Könnte da doch mal jemand was zu sagen?
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11183
Joined: 2003-02-27 01:00
Location: Hamburg
 

Re: Angriff auf apache!!!

Post by Joe User »

Gros wrote:Könnte da doch mal jemand was zu sagen?
http://www.rootforum.org/forum/viewtopi ... 341#219341
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

So Hier Logs von einem älteren ANgriff nicht verfälscht oder sonst was :

Code: Select all

84.132.172.130 - - [21/Mar/2005:13:01:32 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:32 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:33 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:33 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:33 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:33 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:34 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:35 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:35 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:36 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:36 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:36 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:36 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:36 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:43 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:45 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:46 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:48 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:01:50 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:34 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:34 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:35 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:35 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:35 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:35 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:36 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:45 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:47 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:48 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:50 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:06:52 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:36 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:36 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:37 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:38 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:39 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:40 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:41 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:42 +0100] "-" 408 -
84.132.172.130 - - [21/Mar/2005:13:11:42 +0100] "-" 408 -
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

Ich hab gerade noch ne info bekommen un zwar:

das ist das prinzip mit dem heise platt gemacht wurde!
Die haben Ihren Cluster immer erweitert und erweitert

das ist einfach nicht zu fixen, denn dann müsste man das prinzip eines webservers ändern.
Top
mc5000
Posts: 308
Joined: 2004-06-17 11:56
Location: Köln
 

???

Post by mc5000 »

das "prinzip" heißt DOS ...
das ist einfach nicht zu fixen, denn dann müsste man das prinzip eines webservers ändern.
und was soll uns das jetzt sagen?
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

das "prinzip" heißt DOS ...


Nein heißt es nicht.
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

zitat:


so wie ich das jetzt diagnostiziert habe
macht das unvollständige anfragen
es fragt an und wartet nicht auf die antwort
der webserver bringt es aber zu Ende
also braucht der logischer Weise länger
Top
mc5000
Posts: 308
Joined: 2004-06-17 11:56
Location: Köln
 

???

Post by mc5000 »

Nein heißt es nicht.
Und wie würdest Du dieses Prinzip dann bezeichnen?
Top
tcs
Posts: 107
Joined: 2003-11-16 12:05
Location: Woodcastle
 

Re: Angriff auf apache!!!

Post by tcs »

"frecherweisefragenohneaufantwortzuwarten-angriff"

*scnr* :lol:

Cheers

tcs
Top
mc5000
Posts: 308
Joined: 2004-06-17 11:56
Location: Köln
 

lol

Post by mc5000 »

also kurz; Der allseits bekannte FFoaAzw-Angriff :lol:

aber mal im Ernst:

wwwhack:
Das reine HTTP-Pendant zu Unsecure heisst WWWHack, und steht an einigen Ecken im Internet zum Download bereit. Die offizielle Homepage von WWWHack war/ist unter xxxxxxxxxxxxxx erreichbar. Die Seite war bis vor kurzem down, und wurde nun direkt von Xoom gelöscht. Der Programmierer von WWWHack muss sich wohl oder übel eine neue Location für den Vertrieb seines Tools suchen. Dieses Programm kann hervorragend für das ausbooten sogenannter HTACCES-Passwortabfragen benutzt werden, die standartmässig auf vielen UNIX-Servern - dieses System wurde ursprünglich beim Apache-Server eingeführt - benutzt werden und ganz normal auf TCP-Port 80 kontaktiert werden müssen. Auch können Angriffe auf (kombinierte) eingebettete Java- bzw. CGI-Abfragen in HTML-Dokumenten durchgeführt werden, wobei die Konfiguration sich als ziemlich schwierig herausstellt, wenn man kein versierter HTML- und HTTP-Kenner ist.
Ergänzung:
Die Authentifizierungsmechanismen auf Webseiten, POP3-oder FTP-Servern testet man mit speziellen Online-Crackern. Das Tool wwwhack versucht wahlweise via Brute-Force oder anhand von Listen, die Zugangsdaten zu diesen Diensten zu erraten. Dabei füllen sich die Log-Dateien der Zielsysteme mit Meldungen über fehlgeschlagene Anmeldeversuche.
Wenn dies das Tool für den Angriff auf Dein System war, ging es wohl weniger darum Dein System (so wie bei heise) zu überlasten, es scheint doch eher der Versuch zu sein, in einen geschützten Bereich auf Deinem Server einzudringen ....
Top
andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen
 

Re: Angriff auf apache!!!

Post by andreask2 »

btw: http://www.w3.org/Protocols/rfc2616/rfc ... #sec10.4.9
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

Hi,

Ich habs selber gestest und auf denn server los gelassen.

Da kammen genau die Fehler.

Da gibs nen bereich der heißt Attack server

dann ist der webserver nach nerr zeit off gangen.
Top
thorsten
Posts: 561
Joined: 2003-02-01 13:14
Location: Fuldatal
 

Re: Angriff auf apache!!!

Post by thorsten »

Ich will nicht wieder eine große Diskussion lostreten, aber Gros:
Kannst du dich bitte _bitte_ um eine vernünftige deutsche Rechtschreibung bemühen?
Das würde das Lesen deiner Postings erheblich vereinfachen.
Außerdem steigt dann auch die Chance eine qualifizierte Antwort zu bekommen erheblich.
Top
gros
Posts: 12
Joined: 2005-03-28 14:25
 

Re: Angriff auf apache!!!

Post by gros »

ja könnte ich machen also, ich habe dieses Programm Names: wwwhack auf meinen Server angreifen lassen in diesem Programm gibt es eine Option die nent sich Attack server nach der eingabe der ip Adresse wird dieser angriff oben zu sehen die Logs durchgefürt da durch wird der webserver überlastet und stürst ab.

Meine Frage Liebe Leute habt ihr verleicht eine Lösung perat ?
Top
tcs
Posts: 107
Joined: 2003-11-16 12:05
Location: Woodcastle
 

Re: Angriff auf apache!!!

Post by tcs »

hallo Gros ich glaube du liest die postings hier nicht es ging darum daß man doch ein wenig die regeln der verwendeten sprache in diesem fall deutsch beachten sollte und nicht einfach ohne punkt komma und an allen regeln der orthographie vorbei etwas hier reinknallt ich muß mich echt zusammenreißen das auch hinzukriegen aber ich glaube es hilft ungemein wenn man sich einmal durch so einen wust kämpfen muß ich hoffe es hilft hier und wir bleiben von weiteren meldungen in dieser form verschont die sind nämlich wirklich nicht einfach zu lesen mist ich glaub ich hab zu wenig rechtschreibfehler drin oh ja ist mir grad noch eingefallen der vorschau button ist pure dekoration und könnte eigentlich endlich rausgenommen werden bitte nimm dir ein herz und lies wenigstens deine eigenen postings bevor du auf absenden haust cheers tcs

[mods]
Sorry für den Kauderwelsch, ich erhoffe pädagogische Wirkung.
[/mods]
Top
flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin
 

Re: Angriff auf apache!!!

Post by flo »

Gros wrote:das "prinzip" heißt DOS ...


Nein heißt es nicht.
Stimmt, könnte auch DDOS sein :-)

Irgendein Script greift auf Deinen Apache zu, der wirft einen Fehler raus und gut ist - was möchtest Du jetzt hören?

Wenn Du Dich an solchen Zugriffen störst, fahr den Webserver runter, dann erfolgen auch keine Zugriffe ... das liegt nunmal in der Natur der Sache, daß ein Server auch Daten ausliefert.

flo.

Edit: Deine Posts kann auch ich nur schwer lesen ...
Top

Return to “Security”