Angriff?
-
- Posts: 20
- Joined: 2004-11-12 17:53
Angriff?
Hallo Leute!
Ich habe gerade meine error_log gecheckt und massig folgende Einträge gefunden:
.
.
.
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-rc1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-pl1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-pl2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-beta1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-rc1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-rc2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.3
[Tue Dec 26 16:04:14 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.4
[Tue Dec 26 16:04:14 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.1-rc1
.
.
.
Was passiert da?
Danke und Gruss,
Micha
Ich habe gerade meine error_log gecheckt und massig folgende Einträge gefunden:
.
.
.
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-rc1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-pl1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-pl2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-beta1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-rc1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-rc2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.3
[Tue Dec 26 16:04:14 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.4
[Tue Dec 26 16:04:14 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.1-rc1
.
.
.
Was passiert da?
Danke und Gruss,
Micha
-
- Posts: 33
- Joined: 2006-11-23 22:57
- Location: Heidelberg (Baden)
Re: Angriff?
Da sucht einer deinen Server nach bestimmter Software durch. Wenn er etwas findet, ist bekannt, welche Software du nutzt. Dann sucht er noch den passenden Exploit und ist drin.
EDIT: Mich wundert nur, dass er nach /usr/local sucht.
EDIT: Mich wundert nur, dass er nach /usr/local sucht.
Last edited by mad cow on 2006-12-26 16:21, edited 1 time in total.
-
- Posts: 20
- Joined: 2004-11-12 17:53
Re: Angriff?
Hi!
Und wie kommt er von aussen auf diese Verzeichnisse??
Gruss,
Micha
Und wie kommt er von aussen auf diese Verzeichnisse??
Gruss,
Micha
-
- Posts: 33
- Joined: 2006-11-23 22:57
- Location: Heidelberg (Baden)
Re: Angriff?
Wenn deine url http://www.server.de, versucht er auf http://www.server.de/usr/local/php-sonstwas zuzugreifen. Findet er das passende, hat er gefunden, was er sucht.
Diese Programmversionen sind ihm bekannt. Deshalb hofft er, bei dir diese Ordner zu finden.
Diese Programmversionen sind ihm bekannt. Deshalb hofft er, bei dir diese Ordner zu finden.
-
- Posts: 33
- Joined: 2006-11-23 22:57
- Location: Heidelberg (Baden)
Re: Angriff?
Der meint wohl, du wärst so fahrlässig, den DocumentRoot auf / zu setzen. Sehr ungewöhnlich.
-
- Posts: 20
- Joined: 2004-11-12 17:53
Re: Angriff?
Hi!
Ja, Danke.
Habe es gerade selbst probiert.
Allerdings nutzt es ihm nichts, da, egal ob das Verzeichniss da ist oder nicht, die Fehlermeldung die gleiche ist.
Edit:
Leider ist sie doch nicht die gleiche. Was nun???
/Edit
Gruss,
Micha
Ja, Danke.
Habe es gerade selbst probiert.
Allerdings nutzt es ihm nichts, da, egal ob das Verzeichniss da ist oder nicht, die Fehlermeldung die gleiche ist.
Edit:
Leider ist sie doch nicht die gleiche. Was nun???
/Edit
Gruss,
Micha
-
- Posts: 33
- Joined: 2006-11-23 22:57
- Location: Heidelberg (Baden)
Re: Angriff?
Bei mir sehen die so aus:
Also musst du irgendwas unter /usr/local/visas/public_html/ liegen haben. Wenn das so ist, ist alles normal.
Code: Select all
[Sat Dec 02 02:28:28 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.5.1
[Sat Dec 02 02:28:28 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.5.4
[Sat Dec 02 02:28:31 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.5.6
[Sat Dec 02 02:28:31 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.0
[Sat Dec 02 02:28:31 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.0-pl1
[Sat Dec 02 02:28:34 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.2-rc1
[Sat Dec 02 02:28:34 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.3
[Sat Dec 02 02:28:34 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.3-pl1
[Sat Dec 02 02:28:37 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.3-rc1
-
- Posts: 20
- Joined: 2004-11-12 17:53
Re: Angriff?
Hi!
Natürlich liegt da was
Nämlich Visas mit den entsprechenden Programmen.
Über die Art der Fehlermeldung findet er auch meine phpMyAdmin-Version heraus. Es kommt eine 404 bei der falschen und eine 403 bei der richtigen
Version als Meldung.
Die Frage ist nun, ob ich mir Gedanken machen muss, wenn er zB meine phpMyAdmin-Version kennt.
Gruss,
Micha
Natürlich liegt da was
Über die Art der Fehlermeldung findet er auch meine phpMyAdmin-Version heraus. Es kommt eine 404 bei der falschen und eine 403 bei der richtigen
Version als Meldung.
Die Frage ist nun, ob ich mir Gedanken machen muss, wenn er zB meine phpMyAdmin-Version kennt.
Gruss,
Micha
-
- Posts: 33
- Joined: 2006-11-23 22:57
- Location: Heidelberg (Baden)
Re: Angriff?
Man kann ihn im Moment noch anpingen.
Code: Select all
% Information related to '217.79.180.0 - 217.79.183.255'
inetnum: 217.79.180.0 - 217.79.183.255
netname: FASTIT-DE-DUS1-COLO4
descr: fast IT Colocation
country: DE
admin-c: IPFI-RIPE
admin-c: DTH
tech-c: DTH
status: ASSIGNED PA
mnt-by: FASTIT-MNT
mnt-lower: FASTIT-MNT
mnt-routes: FASTIT-MNT
source: RIPE # Filtered
role: fast IT NOC
address: fast IT GmbH
Network Operations & Services
Am Gatherhof 44
40472 Duesseldorf
DE
abuse-mailbox: abuse@fastIT.net
remarks: +---------------------------------------------------+
remarks: | 24/7 NOC email: noc _at_ fastit.net |
remarks: | 24/7 NOC phone: +49 700 00 327848 |
remarks: | Please direct absue issues ONLY |
remarks: | to abuse _at_ fastIT.net |
remarks: | Complaints to other adresses will be deemed |
remarks: | as spam and not further processed! |
remarks: +---------------------------------------------------+
admin-c: DTH
tech-c: DTH
nic-hdl: IPFI-RIPE
mnt-by: FASTIT-MNT
mnt-by: FASTIT-MNT
source: RIPE # Filtered
person: Dennis Thomas
address: fast IT GmbH
Network Operations & Services
Am Gatherhof 44
40472 Duesseldorf
DE
address: Eichsfelderstr. 10
48153 Muenster
DE
phone: +49 211 171 659 10
fax-no: +49 211 171 659 33
nic-hdl: DTH
remarks: If it jams - force it. If it breaks, it needed replacing anyway.
mnt-by: FASTIT-MNT
source: RIPE # Filtered
% Information related to '217.79.176.0/20AS24961'
route: 217.79.176.0/20
descr: DE-FASTIT-217-79-176-0---slash-20
origin: AS24961
mnt-by: FASTIT-MNT
source: RIPE # Filtered
-
- Posts: 20
- Joined: 2004-11-12 17:53
Re: Angriff?
Hi!
Über ip to host fand ich seine Domain:
uo-sw.de
Über Denic bekomme ich den Namen.
Und nun?
Gruss,
Micha
Über ip to host fand ich seine Domain:
uo-sw.de
Über Denic bekomme ich den Namen.
Und nun?
Gruss,
Micha
-
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Angriff?
Schreib eine Abuse-Meldung an die zuständige Abteilung des Providers. Adresse findest du in den WHOIS-Daten. Liefere die Logauszüge mit, damit die Jungs auch was mit deiner Mail anfangen können.
-
- Project Manager
- Posts: 11180
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Angriff?
Rufe ihn an und teile ihm mit, dass sein Server ge'root'et wurde und Dein Server von seinem belästigt wird...
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Posts: 33
- Joined: 2006-11-23 22:57
- Location: Heidelberg (Baden)
Re: Angriff?
Bisher habe ich schon mehrer Abuse-Abteilungen angeschrieben. Von der Firma mit dem großen T gibt es keine Antwort, von den anderen vorgefertigte Mails. Solange kein größerer Schaden angerichtet wird, kann man wohl nichts machen.
EDIT: Da waren wohl ein paar schneller als ich.
EDIT: Da waren wohl ein paar schneller als ich.
Last edited by mad cow on 2006-12-26 18:25, edited 1 time in total.
-
- Posts: 471
- Joined: 2005-09-10 17:52
- Location: Frankfurt am Main
Re: Angriff?
Mad Cow wrote:Bisher habe ich schon mehrer Abuse-Abteilungen angeschrieben. Von der Firma mit dem großen T gibt es keine Antwort, von den anderen vorgefertigte Mails. Solange kein größerer Schaden angerichtet wird, kann man wohl nichts machen.
Das keiner etwas sagt auch nit danke hängt damit zusammen, dass es den meisten peinlich ist, den anderen scheissegal was da vor sich geht.
-
- Posts: 33
- Joined: 2006-11-23 22:57
- Location: Heidelberg (Baden)
Re: Angriff?
Naja, einen Namen hatte ich bisher nie. Alles DSL-Kunden. Warum sich gerade dieser nicht anonymisiert? Entweder ist er doof oder hat er sich ein Tierchen eingefangen.
zu Denic:
Damit kann man schon mehr anfangen. Anschreiben oder anrufen solltest du ihn auf jeden Fall.
zu Denic:
Damit kann man schon mehr anfangen. Anschreiben oder anrufen solltest du ihn auf jeden Fall.
-
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Angriff?
Vielleicht weil es kein DSL-Kunde ist sondern ein dedizierter Server mit Colocation bei FastIT?Mad Cow wrote:Warum sich gerade dieser nicht anonymisiert? Entweder ist er doof oder hat er sich ein Tierchen eingefangen.
-
- Posts: 471
- Joined: 2005-09-10 17:52
- Location: Frankfurt am Main
Re: Angriff?
Mad Cow wrote:Warum sich gerade dieser nicht anonymisiert?
zu Denic:
Damit kann man schon mehr anfangen. Anschreiben oder anrufen solltest du ihn auf jeden Fall.
Weil "er" ein Ripe Ip Netz hat.
Und es ist davon auszugehen das der Rechner dort für die Angriffe missbraucht wird und sich dadurch der Angreifer schon mind. 1 mal anonymisiert hat.
Die Denic hat damit im übrigen garnix zu tun.
-
- Project Manager
- Posts: 11180
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Angriff?
Über die Denic bekommt er den Namen des Serverkunden des bereits genannten Anbieters und kann den vermeintlichen Admin so direkt per Telefon um Abwendung weiteren Schadens anhalten...aubergine wrote:Die Denic hat damit im übrigen garnix zu tun.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Project Manager
- Posts: 11180
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Angriff?
BTW: Nicht "er" hat ein eigenes Netz, sondern sein Anbieter...aubergine wrote:Weil "er" ein Ripe Ip Netz hat.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Posts: 471
- Joined: 2005-09-10 17:52
- Location: Frankfurt am Main
Re: Angriff?
Joe User wrote:Über die Denic bekommt er den Namen des Serverkunden des bereits genannten Anbieters und kann den vermeintlichen Admin so direkt per Telefon um Abwendung weiteren Schadens anhalten...aubergine wrote:Die Denic hat damit im übrigen garnix zu tun.
Das ist aber imho nicht seine Aufgabe sondern die seines Providers solche abuse Meldungen weiterzuleiten und zu verfolgen.
Wie kann man mit der IP in der Hand, die Domains bzw. Kontaktdaten des Serverkunden heraus finden? Als RDNS kann man ja bekanntlich eintragen was man will, sodass dies nicht zwangsläufig die richtige Adresse sein muss (In diesem Beispiel jetzt schon, dass ist klar)