Angriff?

[micha68]

Hallo Leute!

Ich habe gerade meine error_log gecheckt und massig folgende Einträge gefunden:

.
.
.
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-rc1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-pl1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0-pl2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.7.0
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-beta1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-rc1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0-rc2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.1
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.2
[Tue Dec 26 16:04:13 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.3
[Tue Dec 26 16:04:14 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.0.4
[Tue Dec 26 16:04:14 2006] [error] [client 217.79.182.109] File does not exist: /usr/local/visas/public_html/phpMyAdmin-2.8.1-rc1
.
.
.

Was passiert da?

Danke und Gruss,
Micha

[mad cow]

Da sucht einer deinen Server nach bestimmter Software durch. Wenn er etwas findet, ist bekannt, welche Software du nutzt. Dann sucht er noch den passenden Exploit und ist drin.

EDIT: Mich wundert nur, dass er nach /usr/local sucht.

[micha68]

Hi!

Und wie kommt er von aussen auf diese Verzeichnisse??

Gruss,
Micha

[mad cow]

Wenn deine url http://www.server.de, versucht er auf http://www.server.de/usr/local/php-sonstwas zuzugreifen. Findet er das passende, hat er gefunden, was er sucht.
Diese Programmversionen sind ihm bekannt. Deshalb hofft er, bei dir diese Ordner zu finden.

[mad cow]

Der meint wohl, du wärst so fahrlässig, den DocumentRoot auf / zu setzen. Sehr ungewöhnlich.

[micha68]

Hi!

Ja, Danke.
Habe es gerade selbst probiert.
Allerdings nutzt es ihm nichts, da, egal ob das Verzeichniss da ist oder nicht, die Fehlermeldung die gleiche ist.

Edit:
Leider ist sie doch nicht die gleiche. Was nun???
/Edit


Gruss,
Micha

[mad cow]

Bei mir sehen die so aus:

Code: Select all

[Sat Dec 02 02:28:28 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.5.1
[Sat Dec 02 02:28:28 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.5.4
[Sat Dec 02 02:28:31 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.5.6
[Sat Dec 02 02:28:31 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.0
[Sat Dec 02 02:28:31 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.0-pl1
[Sat Dec 02 02:28:34 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.2-rc1
[Sat Dec 02 02:28:34 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.3
[Sat Dec 02 02:28:34 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.3-pl1
[Sat Dec 02 02:28:37 2006] [error] [client 87.106.35.190] File does not exist: /var/www/emma/phpMyAdmin-2.6.3-rc1

Also musst du irgendwas unter /usr/local/visas/public_html/ liegen haben. Wenn das so ist, ist alles normal.

[micha68]

Hi!

Natürlich liegt da was Nämlich Visas mit den entsprechenden Programmen.
Über die Art der Fehlermeldung findet er auch meine phpMyAdmin-Version heraus. Es kommt eine 404 bei der falschen und eine 403 bei der richtigen
Version als Meldung.

Die Frage ist nun, ob ich mir Gedanken machen muss, wenn er zB meine phpMyAdmin-Version kennt.

Gruss,
Micha

[mad cow]

Man kann ihn im Moment noch anpingen.

Code: Select all

% Information related to '217.79.180.0 - 217.79.183.255'

inetnum:      217.79.180.0 - 217.79.183.255
netname:      FASTIT-DE-DUS1-COLO4
descr:        fast IT Colocation
country:      DE
admin-c:      IPFI-RIPE
admin-c:      DTH
tech-c:       DTH
status:       ASSIGNED PA
mnt-by:       FASTIT-MNT
mnt-lower:    FASTIT-MNT
mnt-routes:   FASTIT-MNT
source:       RIPE # Filtered

role:           fast IT NOC
address:        fast IT GmbH
                Network Operations & Services
                Am Gatherhof 44
                40472 Duesseldorf
                DE
abuse-mailbox:  abuse@fastIT.net
remarks:        +---------------------------------------------------+
remarks:        | 24/7 NOC email: noc _at_ fastit.net               |
remarks:        | 24/7 NOC phone: +49 700 00 327848                 |
remarks:        | Please direct absue issues ONLY                   |
remarks:        | to abuse _at_ fastIT.net                          |
remarks:        | Complaints to other adresses will be deemed       |
remarks:        | as spam and not further processed!                |
remarks:        +---------------------------------------------------+
admin-c:        DTH
tech-c:         DTH
nic-hdl:        IPFI-RIPE
mnt-by:         FASTIT-MNT
mnt-by:         FASTIT-MNT
source:         RIPE # Filtered

person:         Dennis Thomas
address:        fast IT GmbH
               Network Operations & Services
               Am Gatherhof 44
               40472 Duesseldorf
               DE
address:        Eichsfelderstr. 10
               48153 Muenster
               DE
phone:          +49 211 171 659 10
fax-no:         +49 211 171 659 33
nic-hdl:        DTH
remarks:        If it jams - force it. If it breaks, it needed replacing anyway.
mnt-by:         FASTIT-MNT
source:         RIPE # Filtered

% Information related to '217.79.176.0/20AS24961'

route:        217.79.176.0/20
descr:        DE-FASTIT-217-79-176-0---slash-20
origin:       AS24961
mnt-by:       FASTIT-MNT
source:       RIPE # Filtered

[micha68]

Hi!

Über ip to host fand ich seine Domain:
uo-sw.de

Über Denic bekomme ich den Namen.

Und nun?

Gruss,
Micha

[Roger Wilco]

Schreib eine Abuse-Meldung an die zuständige Abteilung des Providers. Adresse findest du in den WHOIS-Daten. Liefere die Logauszüge mit, damit die Jungs auch was mit deiner Mail anfangen können.

[Joe User]

Rufe ihn an und teile ihm mit, dass sein Server ge'root'et wurde und Dein Server von seinem belästigt wird...

[mad cow]

Bisher habe ich schon mehrer Abuse-Abteilungen angeschrieben. Von der Firma mit dem großen T gibt es keine Antwort, von den anderen vorgefertigte Mails. Solange kein größerer Schaden angerichtet wird, kann man wohl nichts machen.

EDIT: Da waren wohl ein paar schneller als ich.

[aubergine]

Bisher habe ich schon mehrer Abuse-Abteilungen angeschrieben. Von der Firma mit dem großen T gibt es keine Antwort, von den anderen vorgefertigte Mails. Solange kein größerer Schaden angerichtet wird, kann man wohl nichts machen.

Das keiner etwas sagt auch nit danke hängt damit zusammen, dass es den meisten peinlich ist, den anderen scheissegal was da vor sich geht.

[mad cow]

Naja, einen Namen hatte ich bisher nie. Alles DSL-Kunden. Warum sich gerade dieser nicht anonymisiert? Entweder ist er doof oder hat er sich ein Tierchen eingefangen.

zu Denic:
Damit kann man schon mehr anfangen. Anschreiben oder anrufen solltest du ihn auf jeden Fall.

[Roger Wilco]

Warum sich gerade dieser nicht anonymisiert? Entweder ist er doof oder hat er sich ein Tierchen eingefangen.

Vielleicht weil es kein DSL-Kunde ist sondern ein dedizierter Server mit Colocation bei FastIT?

[aubergine]

Warum sich gerade dieser nicht anonymisiert?
zu Denic:
Damit kann man schon mehr anfangen. Anschreiben oder anrufen solltest du ihn auf jeden Fall.

Weil "er" ein Ripe Ip Netz hat.
Und es ist davon auszugehen das der Rechner dort für die Angriffe missbraucht wird und sich dadurch der Angreifer schon mind. 1 mal anonymisiert hat.

Die Denic hat damit im übrigen garnix zu tun.

[Joe User]

Die Denic hat damit im übrigen garnix zu tun.

Über die Denic bekommt er den Namen des Serverkunden des bereits genannten Anbieters und kann den vermeintlichen Admin so direkt per Telefon um Abwendung weiteren Schadens anhalten...

[Joe User]

Weil "er" ein Ripe Ip Netz hat.

BTW: Nicht "er" hat ein eigenes Netz, sondern sein Anbieter...

[aubergine]

Die Denic hat damit im übrigen garnix zu tun.

Über die Denic bekommt er den Namen des Serverkunden des bereits genannten Anbieters und kann den vermeintlichen Admin so direkt per Telefon um Abwendung weiteren Schadens anhalten...

Das ist aber imho nicht seine Aufgabe sondern die seines Providers solche abuse Meldungen weiterzuleiten und zu verfolgen.

Wie kann man mit der IP in der Hand, die Domains bzw. Kontaktdaten des Serverkunden heraus finden? Als RDNS kann man ja bekanntlich eintragen was man will, sodass dies nicht zwangsläufig die richtige Adresse sein muss (In diesem Beispiel jetzt schon, dass ist klar)