Angriff?

Apache, Lighttpd, nginx, Cherokee
micha68
Posts: 20
Joined: 2004-11-12 17:53

Angriff?

Post by micha68 » 2006-12-26 16:15

Hallo Leute!

Ich habe gerade meine error_log gecheckt und massig folgende Einträge gefunden:

.
.
.
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-rc1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-pl1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-pl2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-beta1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-rc1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-rc2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.3
[Tue Dec 26 16:04:14 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.4
[Tue Dec 26 16:04:14 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.1-rc1
.
.
.

Was passiert da?

Danke und Gruss,
Micha

mad cow
Posts: 33
Joined: 2006-11-23 22:57
Location: Heidelberg (Baden)

Re: Angriff?

Post by mad cow » 2006-12-26 16:19

Da sucht einer deinen Server nach bestimmter Software durch. Wenn er etwas findet, ist bekannt, welche Software du nutzt. Dann sucht er noch den passenden Exploit und ist drin.

EDIT: Mich wundert nur, dass er nach /usr/local sucht.
Last edited by mad cow on 2006-12-26 16:21, edited 1 time in total.

micha68
Posts: 20
Joined: 2004-11-12 17:53

Re: Angriff?

Post by micha68 » 2006-12-26 16:20

Hi!

Und wie kommt er von aussen auf diese Verzeichnisse??

Gruss,
Micha

mad cow
Posts: 33
Joined: 2006-11-23 22:57
Location: Heidelberg (Baden)

Re: Angriff?

Post by mad cow » 2006-12-26 16:23

Wenn deine url http://www.server.de, versucht er auf http://www.server.de/usr/local/php-sonstwas zuzugreifen. Findet er das passende, hat er gefunden, was er sucht.
Diese Programmversionen sind ihm bekannt. Deshalb hofft er, bei dir diese Ordner zu finden.

mad cow
Posts: 33
Joined: 2006-11-23 22:57
Location: Heidelberg (Baden)

Re: Angriff?

Post by mad cow » 2006-12-26 16:25

Der meint wohl, du wärst so fahrlässig, den DocumentRoot auf / zu setzen. Sehr ungewöhnlich.

micha68
Posts: 20
Joined: 2004-11-12 17:53

Re: Angriff?

Post by micha68 » 2006-12-26 16:26

Hi!

Ja, Danke.
Habe es gerade selbst probiert.
Allerdings nutzt es ihm nichts, da, egal ob das Verzeichniss da ist oder nicht, die Fehlermeldung die gleiche ist.

Edit:
Leider ist sie doch nicht die gleiche. Was nun???
/Edit


Gruss,
Micha

mad cow
Posts: 33
Joined: 2006-11-23 22:57
Location: Heidelberg (Baden)

Re: Angriff?

Post by mad cow » 2006-12-26 16:54

Bei mir sehen die so aus:

Code: Select all

[Sat Dec 02 02:28:28 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.5.1
[Sat Dec 02 02:28:28 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.5.4
[Sat Dec 02 02:28:31 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.5.6
[Sat Dec 02 02:28:31 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.0
[Sat Dec 02 02:28:31 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.0-pl1
[Sat Dec 02 02:28:34 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.2-rc1
[Sat Dec 02 02:28:34 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.3
[Sat Dec 02 02:28:34 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.3-pl1
[Sat Dec 02 02:28:37 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.3-rc1
Also musst du irgendwas unter /usr/local/visas/public_html/ liegen haben. Wenn das so ist, ist alles normal.

micha68
Posts: 20
Joined: 2004-11-12 17:53

Re: Angriff?

Post by micha68 » 2006-12-26 16:59

Hi!

Natürlich liegt da was :wink: Nämlich Visas mit den entsprechenden Programmen.
Über die Art der Fehlermeldung findet er auch meine phpMyAdmin-Version heraus. Es kommt eine 404 bei der falschen und eine 403 bei der richtigen
Version als Meldung.

Die Frage ist nun, ob ich mir Gedanken machen muss, wenn er zB meine phpMyAdmin-Version kennt.

Gruss,
Micha

mad cow
Posts: 33
Joined: 2006-11-23 22:57
Location: Heidelberg (Baden)

Re: Angriff?

Post by mad cow » 2006-12-26 17:06

Man kann ihn im Moment noch anpingen.

Code: Select all

% Information related to '217.79.180.0 - 217.79.183.255'

inetnum:      217.79.180.0 - 217.79.183.255
netname:      FASTIT-DE-DUS1-COLO4
descr:        fast IT Colocation
country:      DE
admin-c:      IPFI-RIPE
admin-c:      DTH
tech-c:       DTH
status:       ASSIGNED PA
mnt-by:       FASTIT-MNT
mnt-lower:    FASTIT-MNT
mnt-routes:   FASTIT-MNT
source:       RIPE # Filtered

role:           fast IT NOC
address:        fast IT GmbH
                Network Operations & Services
                Am Gatherhof 44
                40472 Duesseldorf
                DE
abuse-mailbox:  abuse@fastIT.net
remarks:        +---------------------------------------------------+
remarks:        | 24/7 NOC email: noc _at_ fastit.net               |
remarks:        | 24/7 NOC phone: +49 700 00 327848                 |
remarks:        | Please direct absue issues ONLY                   |
remarks:        | to abuse _at_ fastIT.net                          |
remarks:        | Complaints to other adresses will be deemed       |
remarks:        | as spam and not further processed!                |
remarks:        +---------------------------------------------------+
admin-c:        DTH
tech-c:         DTH
nic-hdl:        IPFI-RIPE
mnt-by:         FASTIT-MNT
mnt-by:         FASTIT-MNT
source:         RIPE # Filtered

person:         Dennis Thomas
address:        fast IT GmbH
               Network Operations & Services
               Am Gatherhof 44
               40472 Duesseldorf
               DE
address:        Eichsfelderstr. 10
               48153 Muenster
               DE
phone:          +49 211 171 659 10
fax-no:         +49 211 171 659 33
nic-hdl:        DTH
remarks:        If it jams - force it. If it breaks, it needed replacing anyway.
mnt-by:         FASTIT-MNT
source:         RIPE # Filtered

% Information related to '217.79.176.0/20AS24961'

route:        217.79.176.0/20
descr:        DE-FASTIT-217-79-176-0---slash-20
origin:       AS24961
mnt-by:       FASTIT-MNT
source:       RIPE # Filtered

micha68
Posts: 20
Joined: 2004-11-12 17:53

Re: Angriff?

Post by micha68 » 2006-12-26 17:17

Hi!

Über ip to host fand ich seine Domain:
uo-sw.de

Über Denic bekomme ich den Namen.

Und nun?

Gruss,
Micha

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Angriff?

Post by Roger Wilco » 2006-12-26 17:23

Schreib eine Abuse-Meldung an die zuständige Abteilung des Providers. Adresse findest du in den WHOIS-Daten. Liefere die Logauszüge mit, damit die Jungs auch was mit deiner Mail anfangen können.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Angriff?

Post by Joe User » 2006-12-26 17:25

Rufe ihn an und teile ihm mit, dass sein Server ge'root'et wurde und Dein Server von seinem belästigt wird...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

mad cow
Posts: 33
Joined: 2006-11-23 22:57
Location: Heidelberg (Baden)

Re: Angriff?

Post by mad cow » 2006-12-26 17:25

Bisher habe ich schon mehrer Abuse-Abteilungen angeschrieben. Von der Firma mit dem großen T gibt es keine Antwort, von den anderen vorgefertigte Mails. Solange kein größerer Schaden angerichtet wird, kann man wohl nichts machen.

EDIT: Da waren wohl ein paar schneller als ich.
Last edited by mad cow on 2006-12-26 18:25, edited 1 time in total.

aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: Angriff?

Post by aubergine » 2006-12-26 18:08

Mad Cow wrote:Bisher habe ich schon mehrer Abuse-Abteilungen angeschrieben. Von der Firma mit dem großen T gibt es keine Antwort, von den anderen vorgefertigte Mails. Solange kein größerer Schaden angerichtet wird, kann man wohl nichts machen.

Das keiner etwas sagt auch nit danke hängt damit zusammen, dass es den meisten peinlich ist, den anderen scheissegal was da vor sich geht.

mad cow
Posts: 33
Joined: 2006-11-23 22:57
Location: Heidelberg (Baden)

Re: Angriff?

Post by mad cow » 2006-12-26 18:30

Naja, einen Namen hatte ich bisher nie. Alles DSL-Kunden. Warum sich gerade dieser nicht anonymisiert? Entweder ist er doof oder hat er sich ein Tierchen eingefangen.

zu Denic:
Damit kann man schon mehr anfangen. Anschreiben oder anrufen solltest du ihn auf jeden Fall.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Angriff?

Post by Roger Wilco » 2006-12-26 18:40

Mad Cow wrote:Warum sich gerade dieser nicht anonymisiert? Entweder ist er doof oder hat er sich ein Tierchen eingefangen.
Vielleicht weil es kein DSL-Kunde ist sondern ein dedizierter Server mit Colocation bei FastIT?

aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: Angriff?

Post by aubergine » 2006-12-26 18:41

Mad Cow wrote:Warum sich gerade dieser nicht anonymisiert?
zu Denic:
Damit kann man schon mehr anfangen. Anschreiben oder anrufen solltest du ihn auf jeden Fall.

Weil "er" ein Ripe Ip Netz hat.
Und es ist davon auszugehen das der Rechner dort für die Angriffe missbraucht wird und sich dadurch der Angreifer schon mind. 1 mal anonymisiert hat.

Die Denic hat damit im übrigen garnix zu tun.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Angriff?

Post by Joe User » 2006-12-26 18:52

aubergine wrote:Die Denic hat damit im übrigen garnix zu tun.
Über die Denic bekommt er den Namen des Serverkunden des bereits genannten Anbieters und kann den vermeintlichen Admin so direkt per Telefon um Abwendung weiteren Schadens anhalten...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Angriff?

Post by Joe User » 2006-12-26 18:55

aubergine wrote:Weil "er" ein Ripe Ip Netz hat.
BTW: Nicht "er" hat ein eigenes Netz, sondern sein Anbieter...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: Angriff?

Post by aubergine » 2006-12-26 21:01

Joe User wrote:
aubergine wrote:Die Denic hat damit im übrigen garnix zu tun.
Über die Denic bekommt er den Namen des Serverkunden des bereits genannten Anbieters und kann den vermeintlichen Admin so direkt per Telefon um Abwendung weiteren Schadens anhalten...

Das ist aber imho nicht seine Aufgabe sondern die seines Providers solche abuse Meldungen weiterzuleiten und zu verfolgen.

Wie kann man mit der IP in der Hand, die Domains bzw. Kontaktdaten des Serverkunden heraus finden? Als RDNS kann man ja bekanntlich eintragen was man will, sodass dies nicht zwangsläufig die richtige Adresse sein muss (In diesem Beispiel jetzt schon, dass ist klar)