Komische Logwatch Warnungen (httpd)

Rund um die Sicherheit des Systems und die Applikationen
h@nnib@l
Posts: 22
Joined: 2003-10-23 19:27

Komische Logwatch Warnungen (httpd)

Post by h@nnib@l » 2006-02-22 14:35

Hallo!

Ich habe einen RootServer bei s4y mit Debian...
Habe mir jetzt mal Logwatch installiert und soweit konfiguriert...

Mein Server war 2 Tage Online da haben schon die SSH Bruteforce Attacken begonnen :D
Aber das hab ich erstmal mit einer Portänderung gestillt.

Nun tauchen aber in meinen allmorgentlichen Logwatch Mails im httpd Bereich merkwürdige Dinge auf die ich mir nicht erklären kann...
Heute kam das hier:

Code: Select all

--------------------- httpd Begin ------------------------ 

0.26 MB transfered in 141 responses  (1xx 0, 2xx 38, 3xx 12, 4xx 91, 5xx 0) 
 39 Images (0.17 MB),
 1 Windows executable files (0.00 MB),
 99 Content pages (0.09 MB),
 2 Other (0.00 MB) 

Attempts to use 3 known hacks were logged 3 time(s)
  cltreq.asp  
  owssvr.dll  
  phpmyadmin  

A total of 2 sites probed the server 
  89.55.153.*  
  212.227.83.*  

!!!! 1 possible successful probes 
 /phpmyadmin/main.php HTTP Response 200 

A total of 2 unidentified 'other' records logged
  GET http://verify.qq.com/getimage?0.8821770718181844 HTTP/1.1 with response code(s) 1 404 responses
  GET /unterschriften HTTP/1.1 with response code(s) 1 404 responses

A total of 2 ROBOTS were logged 

 ---------------------- httpd End ------------------------- 
Jetzt wollte ich mal fragen ob jemand weiss was genau da passiert!?
Sind das Bots die nach z. B. phpmyadmin suchen und dann versuchen via Bruteforce einzubrechen?

schrottie
Posts: 45
Joined: 2003-11-02 22:17

Re: Komische Logwatch Warnungen (httpd)

Post by schrottie » 2006-02-22 15:39

Also nur kurz zur Info:

cltreq.asp
owssvr.dll

sind Daten die der Internet Explorer anfordert, wenn die die Diskusions-Leiste Aktiviert ist. das sind keine Hacks sondern eher 404 Fehler, da du kein WindowsServer hast.

h@nnib@l
Posts: 22
Joined: 2003-10-23 19:27

Re: Komische Logwatch Warnungen (httpd)

Post by h@nnib@l » 2006-02-22 23:02

schrottie wrote:Also nur kurz zur Info:

cltreq.asp
owssvr.dll

sind Daten die der Internet Explorer anfordert, wenn die die Diskusions-Leiste Aktiviert ist. das sind keine Hacks sondern eher 404 Fehler, da du kein WindowsServer hast.
Danke für deine Antwort doch es sind nicht diese 2 Dateien die mir Kopfzerbrechen bereiten sondern eher diese Zeilen:

Code: Select all

[...]
!!!! 1 possible successful probes
 /phpmyadmin/main.php HTTP Response 200

A total of 2 unidentified 'other' records logged
  GET http://verify.qq.com/getimage?0.8821770718181844 HTTP/1.1 with response code(s) 1 404 responses
  GET /unterschriften HTTP/1.1 with response code(s) 1 404 responses

A total of 2 ROBOTS were logged
[...]

schrottie
Posts: 45
Joined: 2003-11-02 22:17

Re: Komische Logwatch Warnungen (httpd)

Post by schrottie » 2006-02-22 23:22

Also die 404 kannste vergessen, dass sind Meldungen das die Datei nicht vorhanden ist.
A total of 2 unidentified 'other' records logged
GET http://verify.qq.com/getimage?0.8821770718181844 HTTP/1.1 with response code(s) 1 404 responses
GET /unterschriften HTTP/1.1 with response code(s) 1 404 responses
Damit sind wohl 2 Suchmaschienen-Roboter gemeint:
A total of 2 ROBOTS were logged
Auch egal.

Bleibt nur noch
!!!! 1 possible successful probes
/phpmyadmin/main.php HTTP Response 200
Hast du dich in phpMyAdmin eingelogt?

Kannst du mir ein Link zu den Programm geben damit ich mir mal das verhalten des Programms anschauen kann.

Danke

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Komische Logwatch Warnungen (httpd)

Post by flo » 2006-02-23 08:08

H@nnib@l wrote:

Code: Select all

A total of 2 unidentified 'other' records logged
  GET http://verify.qq.com/getimage?0.8821770718181844 HTTP/1.1 with response code(s) 1 404 responses
Das sieht mir eher nach einem versuchten mod_proxy-Exploit aus - ich gehe mal davon aus, daß "qq.com" nicht Dein Hostname ist?

flo.

h@nnib@l
Posts: 22
Joined: 2003-10-23 19:27

Re: Komische Logwatch Warnungen (httpd)

Post by h@nnib@l » 2006-02-23 16:03

flo wrote:
H@nnib@l wrote:

Code: Select all

A total of 2 unidentified 'other' records logged
  GET http://verify.qq.com/getimage?0.8821770718181844 HTTP/1.1 with response code(s) 1 404 responses
Das sieht mir eher nach einem versuchten mod_proxy-Exploit aus - ich gehe mal davon aus, daß "qq.com" nicht Dein Hostname ist?

flo.
Nein ist nicht der Hostname...

Heute wurde folgende httpd log geliefert:
--------------------- httpd Begin ------------------------

0.77 MB transfered in 238 responses (1xx 0, 2xx 124, 3xx 21, 4xx 93, 5xx 0)
116 Images (0.10 MB),
122 Content pages (0.67 MB),

Attempts to use 1 known hacks were logged 62 time(s)
phpmyadmin

A total of 3 sites probed the server
213.201.165.*
84.159.160.*
212.227.83.*

!!!! 40 possible successful probes
/phpmyadmin/themes/darkblue_orange/img/b_selboard.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/b_export.png HTTP Response 200
/phpmyadmin/css/phpmyadmin.css.php?lang=de-iso-8859-1&js_frame=right&js_isDOM=1 HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/b_sqlhelp.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/logo_right.png HTTP Response 200
/phpmyadmin/css/phpmyadmin.css.php?lang=de-iso-8859-1&js_frame=right HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_db.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_vars.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_tbl.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/logo_left.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/b_info.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/tbl_header.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_status.png HTTP Response 200
/phpmyadmin/main.php?lang=de-iso-8859-1&server=1 HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/b_newdb.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/php_sym.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/spacer.png HTTP Response 200
/phpmyadmin/index.php?lang=de-iso-8859-1&server=1 HTTP Response 200
/phpmyadmin/ HTTP Response 200
/phpmyadmin/css/phpmyadmin.css.php?lang=de-iso-8859-1&js_frame=left&num_dbs=0 HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_loggoff.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_process.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_passwd.png HTTP Response 200
/phpmyadmin/left.php?lang=de-iso-8859-1&server=1&hash=7ff7230ef5c09cb6b51a3ba7e708b4a41140607814 HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/b_engine.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_reload.png HTTP Response 200
/phpmyadmin/main.php HTTP Response 200
/phpmyadmin/queryframe.php?lang=de-iso-8859-1&server=1&hash=7ff7230ef5c09cb6b51a3ba7e708b4a41140607814 HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/b_home.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_theme.png HTTP Response 200
/phpmyadmin/css/phpmyadmin.css.php?lang=de&js_frame=right&js_isDOM=1 HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/b_help.png HTTP Response 200
/phpmyadmin/read_dump.php HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/b_docs.png HTTP Response 200
/phpmyadmin/css/print.css HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_lang.png HTTP Response 200
/phpmyadmin/themes/darkblue_orange/img/s_rights.png HTTP Response 200
/phpmyadmin/libraries/tooltip.js HTTP Response 200
/phpmyadmin/index.php HTTP Response 302
/phpmyadmin/css/phpmyadmin.css.php?js_frame=left&num_dbs=0 HTTP Response 200

A total of 4 ROBOTS were logged

---------------------- httpd End -------------------------
schrottie wrote:Bleibt nur noch
!!!! 1 possible successful probes
/phpmyadmin/main.php HTTP Response 200
Hast du dich in phpMyAdmin eingelogt?

Kannst du mir ein Link zu den Programm geben damit ich mir mal das verhalten des Programms anschauen kann.

Danke
gestern hatte ich mich mal eingeloggt...
Ich denke mal diese 84.159.160.* IP bin ich ;)

h@nnib@l
Posts: 22
Joined: 2003-10-23 19:27

Re: Komische Logwatch Warnungen (httpd)

Post by h@nnib@l » 2006-02-24 12:28

So heute hat sich das Log wieder beruhigt!
Das gestern war wohl meine Surfaktion auffm phpMyAdmin... :oops: :roll:

Naja mal schauen wie sich der Log morgen verhält...
Heute bzw. gestern sah er so aus:
--------------------- httpd Begin ------------------------

0.58 MB transfered in 192 responses (1xx 0, 2xx 119, 3xx 20, 4xx 53, 5xx 0)
122 Images (0.15 MB),
70 Content pages (0.43 MB),

A total of 3 ROBOTS were logged

---------------------- httpd End -------------------------

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Komische Logwatch Warnungen (httpd)

Post by transmitter » 2006-02-24 12:38

Da kann ich mich wohl gleich anschließen, ich fühle mich da auch etwas mulmig:
A total of 292 unidentified 'other' records logged
GET /Galerie/ZeigeBild/id=26 HTTP/1.1 with response code(s) 4 200 responses
GET /Modul/Galerie/GalerieID=9&BildID=6 HTTP/1.1 with response code(s) 3 200 responses
200 ist doch ok, wieso kümmert sich logwatch denn darum?
logwatch.conf: Detail = 5, das habe ich nicht verändert.
Muss ich in der services/http.conf etwas ändern?

Danke schon mal
Bye, Transmitter

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Komische Logwatch Warnungen (httpd)

Post by Roger Wilco » 2006-02-24 13:06

Euer Logwatch ist sehr paranoid konfiguriert. IMHO ist die Ausgabe, die ihr da gepostet habt, nicht zu gebrauchen. Das Skript scheint ja bei jedem HTTP-Zugriff einen halben Herzinfarkt zu bekommen und ist kurz davor, Großalarm auszulösen. :roll:

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Komische Logwatch Warnungen (httpd)

Post by transmitter » 2006-02-24 13:22

Auf welcher Stufe läuft dein logwatch bzw. welche würdest du empfehlen?
Geht von 1 bis 10 und 5 war voreingestellt.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Komische Logwatch Warnungen (httpd)

Post by Roger Wilco » 2006-02-24 13:27

Transmitter wrote:Auf welcher Stufe läuft dein logwatch bzw. welche würdest du empfehlen?
Ich würde den httpd-Teil komplett rauslassen.:roll: