Frage zu access.log und error.log

[goisgo]

Hallo Community,

was zeigen mir folgende Einträge in meinen apache2 lgos:

error.log:

[Sat Nov 11 20:05:43 2006] [error] [client 83.14.239.101] File does not exist: /home/httpd/vhosts/default/htdocs/horde
[Sat Nov 11 20:05:43 2006] [error] [client 83.14.239.101] File does not exist: /home/httpd/vhosts/default/htdocs/horde2
[Sat Nov 11 20:05:44 2006] [error] [client 83.14.239.101] File does not exist: /home/httpd/vhosts/default/htdocs/horde3
[Sat Nov 11 20:05:45 2006] [error] [client 83.14.239.101] File does not exist: /home/httpd/vhosts/default/htdocs/horde-3.0.9


[Sun Nov 12 02:13:22 2006] [error] [client 213.251.166.26] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.6.0
[Sun Nov 12 02:13:22 2006] [error] [client 213.251.166.26] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.6.0-pl1
[Sun Nov 12 02:13:22 2006] [error] [client 213.251.166.26] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.6.3-pl1
[Sun Nov 12 02:13:22 2006] [error] [client 213.251.166.26] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.6.3

[Thu Nov 16 05:05:14 2006] [error] [client 167.206.44.100] File does not exist: /home/httpd/vhosts/default/htdocs/default.asp, referer: http://stmaryseattle.com/
[Thu Nov 16 05:05:17 2006] [error] [client 167.206.44.100] File does not exist: /home/httpd/vhosts/default/htdocs/fhome.asp, referer: http://stmaryseattle.com/
[Thu Nov 16 05:05:17 2006] [error] [client 167.206.44.100] File does not exist: /home/httpd/vhosts/default/htdocs/search.asp, referer: http://stmaryseattle.com/
[Thu Nov 16 05:05:18 2006] [error] [client 167.206.44.100] File does not exist: /home/httpd/vhosts/default/htdocs/search.asp, referer: http://stmaryseattle.com/


Komisch auch diese Einträge im access.log:

167.206.44.100 - - [16/Nov/2006:05:05:11 +0100] "GET http://www.murki.net/ HTTP/1.1" 200 679 "-" "-"
167.206.44.100 - - [16/Nov/2006:05:05:12 +0100] "GET http://www.selbsthilfe-lot.de/index2.ph ... &Itemid=46 HTTP/1.1" 404 1042 "-" "-"
167.206.44.100 - - [16/Nov/2006:05:05:14 +0100] "POST http://stmaryseattle.com/default.asp HTTP/1.1" 404 1172 "http://stmaryseattle.com/" "-"
167.206.44.100 - - [16/Nov/2006:05:05:17 +0100] "POST http://stmaryseattle.com/fhome.asp HTTP/1.1" 404 1172 "http://stmaryseattle.com/" "-"
167.206.44.100 - - [16/Nov/2006:05:05:17 +0100] "POST http://stmaryseattle.com/search.asp?mode=DoIt HTTP/1.1" 404 1172 "http://stmaryseattle.com/" "-"
167.206.44.100 - - [16/Nov/2006:05:05:18 +0100] "POST http://stmaryseattle.com/search.asp?mode=DoIt HTTP/1.1" 404 1172 "http://stmaryseattle.com/" "-"


Versucht hier ein Script Löcher zu finden? Einmal wird versucht auf Horde zuzugreifen, dann - der zweite Block - auf phpMyAdmin-Installationen. Ist hier Vorsicht geboten - waren das normale Scans - oder eine Vorbereitung für einen Angriff?

[timeless2]

Da wird durchgesucht, was du alles installiert hast oder nicht. Falls du eine unsichere Version irgendeiner dieser PHP-Anwendungen dann solltest du das schleunigst updaten. Generell muss man ja auch nicht unbedingt phpmyadmin in ein gleichnamiges Verzeichnis legen.

Ist das stmaryseattle.com deine Domain? Wenn nicht, wird versucht, deinen Apache als proxy zu missbrauchen. Aber wenn du das Proxy-Modul nicht braucht, deaktivieren und dann brauchst du dir keine Gedanken darüber zu machen.

[Joe User]

Normale Scans und Proxy-Tests, einzig die folgende Zeile sollte Dir zu denken geben, da erfolgreich (200):

Code: Select all

167.206.44.100 - - [16/Nov/2006:05:05:11 +0100] "GET http://www.murki.net/ HTTP/1.1" 200 679 "-" "-"

[goisgo]

Normale Scans und Proxy-Tests, einzig die folgende Zeile sollte Dir zu denken geben, da erfolgreich (200):

Code: Select all

167.206.44.100 - - [16/Nov/2006:05:05:11 +0100] "GET http://www.murki.net/ HTTP/1.1" 200 679 "-" "-"

So. Könnte 167.206.44.100 (der anscheinend verschiedenes versucht) über squirrel der Drittserver meinen Server für Spams missbrauchen? Muss jetzt weitergucken - sieht danach aus.

[EdRoxter]

Hast du denn ein Proxy-Modul laufen?

[goisgo]

Hast du denn ein Proxy-Modul laufen?

Nö. Via Telnet kann ich die Angriffe nicht nachvollziehen (also als erfolgreiche....).

[EdRoxter]

Ich glaub, er meint eher "telnet seinserver.de 80"

[captaincrunch]

Ich denke / hoffe, er meinte einen Telnet auf Port 80 seines Servers. ;)

[goisgo]

Ich hoffe das mal auch, wobei Ich nun nicht so ganz nachvollziehen kann, wie er den angriff mit telnet nachstellen will.

Aber nun gut.



Gruss Matthias

Sorry das Mist..verständnis meinerseits. Meinte natürlich Telnet Check ob open relay in Sachen Email.

Ansonsten sind das wohl wirklich nur Standardscans. Und klar hüte ich mich phpmyadmin in normalen Verzeichnissen abzulegen.

Frage an die Profis: Schützt .htaccess meine versteckten phpmyadmin-Verzeichnisse wirklich 100%. Oder kann man Verzeichnisse, die mit htaccess/htpasswd geschützt sind ebenfalls aufbrechen?

Danke Euch jedenfalls für die vielen Tipps und Hilfestellungen,
Peter

[sledge0303]

Ich erstelle für den Wartungsbereich, u.a. für phpmyadmin, eine extra Subdomain. Das gesamte Verzeichnis ist dann per .htaccess gesichert.
Man sollte natürlich keine Bezeichnungen wie "adminbereich.mydomain.de" oder so wählen. Bei mir gab es bislang noch nicht mal einen vergeblichen login Versuch ;)

Du kannst auch bei phpmyadmin "http" bei auth_type eintragen...

Ist alles geschmackssache

[tommbutu]

Frage an die Profis: Schützt .htaccess meine versteckten phpmyadmin-Verzeichnisse wirklich 100%. Oder kann man Verzeichnisse, die mit htaccess/htpasswd geschützt sind ebenfalls aufbrechen?

tut mir leid aber ich kann beim besten willen nicht nachvollziehen wieso man nicht ein ssh auf seinen server zustande kriegt...dann den vhost für phpmyadmin reinschiebt...sich dann mit dem system verbindet und seine änderungen vornimmt und anschliessend phpmyadmin wieder vom netz nimmt.

wenn man wirklich der einzige nutzer/verwalter der hosts ist, gibt es keine einzige ausrede die gut genug wäre, oben geschildertes szenario in frage zu stellen.

das gilt analog für alles was auf dem server läuft und nur temporär gebraucht wird.

Ps: ich als absoluter neuling wäre nicht im leben auf die idee gekommen es anders zu machen, wieso machen es dann die erfahrenen admins nicht so und bieten somit mehr angriffsfläche als nötig?

[daemotron]

@tommbutu
Du hast offenbar keine Kunden mit auf der Maschine, die dynamische Seiten mit einem Datenbank-Backend betreiben und gerne selbst in ihre Datenbestände reinschauen...

Natürlich ist der Verzicht auf eine Software immer der Königsweg in puncto Sicherheit, aber wer Kunden hostet, muss auch auf deren Belange Rücksicht nehmen, sonst wandern sie zur Konkurrenz ab. Sicherheit ist eben leider kein "sichtbares" Feature, und werben tut eh jeder damit...

[sledge0303]

@tommbutu

Man kann ja auch seine *eigenen* Datenbanken über die Konsole verwalten... Was meinst du was der Kunde sagt wenn du ihm vorschlägst das selbe zu tun... :)

[Joe User]

Wir verwenden für solche "Admin-Tools" grundsätzlich eine dedizierte (Sub-)Domain/IP-Adresse und sichern den Zugang per SSL und den Auth-Mechanismen des HTTPd.
Auf meinen eigenen Servern belaste ich mich nicht mit solchen Tools und führe admiistrative Tätigkeiten per Shell durch...

[tommbutu]

hab ich doch geschrieben, das admins mit kunden die drauf angewiesen sind aussen vor bleiben. aber es gibt genug leute die wahrscheinlich aus bequemlichkeit nicht auf solche dienste verzichten wollen, sich dann aber wundern "wie kann xyz nur passieren".

ist ja nun wirklich kein akt dienste wie phpmyadmin webmin und sonstige admin oberflächen zu deaktivieren.

[christian-wf]

Frage an die Profis: Schützt .htaccess meine versteckten phpmyadmin-Verzeichnisse wirklich 100%. Oder kann man Verzeichnisse, die mit htaccess/htpasswd geschützt sind ebenfalls aufbrechen?

Hallo goisgo,
ich denke schon, dass auf das phpmyadmin-Verzeichnis, wenn es per .htaccess geschützt ist, ohne das richtige Passwort nicht zugegriffen werden kann. Wenn Du ein schwer zu erratendes Passwort verwendest und Du Dich per SSL-gesicherter Verbindung anmeldest, halte ich Dein Verfahren eigentlich für sicher. Ich mach das jedenfalls genau so, und ich schütze auch die "admin"-Verzeichnisse von installierten Foren und cms-Systemen zusätzlich auch noch per .htaccess. Ich finde Phpmyadmin eigentlich sehr praktisch, hab zumindest noch nichts besseres gefunden :-D

mfg. Christian

[lucki2]

Naja, das ist die Frage. Sehe ich eigentlich anders.
Ich pfusch nicht gerne über PHPMyAdmin in einem produktiven MySQL rum.
Am produktiven System mache ich höchstens Kleinigkeiten - dafür brauche ich dann aber kein PHPMyadmin.
Bei allem gröberen geht ein Dump ohnehin erst auf einen Testserver.

Auch dann arbeite ich eigentlich nie mit PHPMyAdmin - obwohl es eine Option wäre. Dauert einfach zu lang. Ich stelle mir das gerade vor, eine etwas größere Tabelle mit PHPMyAdmin bearbeiten, da werde ich ja nicht fertig!
Dump, sed,grep und script.sql>mysql. Fertig. Emacs macht dabei das Leben leichter - wunderbar.

ERD Tools machen Sinn, klar aber PHPMyAdmin? ... Wem's gefällt, meinetwegen.