Hohe Servelast Apache.. -> LOG

[chacky]

Code: Select all

85.214.32.22 - - [14/May/2007:17:06:39 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=1816594 HTTP/1.0" 302 -
85.214.32.22 - - [14/May/2007:17:06:41 +0200] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=5d06882e5670a3365a29e421275634f3 HTTP/1.0" 200 7502
85.214.32.22 - - [14/May/2007:17:06:41 +0200] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=5bf8bca8e7d143fafbc8e43009e32f3b HTTP/1.0" 200 7502
85.214.32.22 - - [14/May/2007:17:06:43 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=181366 HTTP/1.0" 302 -
85.214.32.22 - - [14/May/2007:17:06:43 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=181818 HTTP/1.0" 302 -
85.214.32.22 - - [14/May/2007:17:06:45 +0200] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=5d06882e5670a3365a29e421275634f3 HTTP/1.0" 200 7502
85.214.32.22 - - [14/May/2007:17:06:45 +0200] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=5bf8bca8e7d143fafbc8e43009e32f3b HTTP/1.0" 200 7502
85.214.32.22 - - [14/May/2007:17:06:47 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=18152229 HTTP/1.0" 302 -
85.214.32.22 - - [14/May/2007:17:06:48 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=181819 HTTP/1.0" 302 -
85.214.32.22 - - [14/May/2007:17:06:49 +0200] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=5d06882e5670a3365a29e421275634f3 HTTP/1.0" 200 7502
85.214.32.22 - - [14/May/2007:17:06:49 +0200] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=5bf8bca8e7d143fafbc8e43009e32f3b HTTP/1.0" 200 7502
85.214.32.22 - - [14/May/2007:17:06:51 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=18153 HTTP/1.0" 302 -
85.214.32.22 - - [14/May/2007:17:06:51 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=181881 HTTP/1.0" 302 -
85.214.32.22 - - [14/May/2007:17:06:53 +0200] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=5d06882e5670a3365a29e421275634f3 HTTP/1.0" 200 7502
85.214.32.22 - - [14/May/2007:17:06:55 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=1816594 HTTP/1.0" 302 -
85.214.32.22 - - [14/May/2007:17:06:54 +0200] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=5bf8bca8e7d143fafbc8e43009e32f3b HTTP/1.0" 200 7921
85.214.32.22 - - [14/May/2007:17:06:57 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=1819wind HTTP/1.0" 302 -
85.214.32.22 - - [14/May/2007:17:06:57 +0200] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=5d06882e5670a3365a29e421275634f3 HTTP/1.0" 200 7921

das ist aus dem access.log und geht schon eine weile so. jetzt hab ich apache, mysql usw beendet.
probiert da jemand das pw zu finden?
wie gehe ich vor bitte helft mir!

[flo]

Bist Du einer von den Brandenburger Fighters? Ist 85.214.32.22 Deine IP wenn nein, Mail an Strato ...

PHPMyadmin gehört ordentlich abgesichert.

[chacky]

hi
Bist Du einer von den Brandenburger Fighters?

hä ne? ;D

ne ist nicht meine IP. Sondern diejenige die das versucht..
soll ich Strato ne Mail schreiben und denen sagen der der versucht mein PW zu hacken?

bezgl. phpmyadmin-absicherung.
gibts da ein gutes Tutorial?

danke schon mal.

[flo]

Bist Du einer von den Brandenburger Fighters?

hä ne? ;D

ne ist nicht meine IP. Sondern diejenige die das versucht..

Ach was :-O ich wollte nur vorbeugen, daß Du Dich bei Strato evtl. über Deinen eigenen Server beschwerst ... :-)

soll ich Strato ne Mail schreiben und denen sagen der der versucht mein PW zu hacken?

Stört das vielleicht Dich und andere? JA ... Mail schreiben wäre angebracht.

bezgl. phpmyadmin-absicherung.
gibts da ein gutes Tutorial?

Die config-Datei dürfte ausreichen, dann piped man das ganze einmal zu /dev/brain und die Sache sollte laufen !?

[guwapo]

soll ich Strato ne Mail schreiben und denen sagen der der versucht mein PW zu hacken?

Sofern es sich um einen Dedicated Server handelt, bist du dann nicht selbst für die Absicherung verantwortlich?

Sieht zumindest nicht nach einer DDoS-Attacke aus, wo (in den meisten Fällen) der Provider einschreiten muss.

bezgl. phpmyadmin-absicherung.
gibts da ein gutes Tutorial?

htaccess (hält u.a. auch googlebots die deine pma Version crawlen fern) + htpasswd, pma sicherlich nicht unter einem bekannten Ordner wie "phpmyadmin" ablegen.

Ansonsten firewall, entsprechende IPs blocken. Soviele wird er ja nicht haben, ausser er verfügt tatsächlich über einen Botnet, aber dann trifft ja obiges zu -> mit Provider reden.

[chacky]

mail hab ich mal an strato geschickt.. schaden kanns ja net.

die sicherungen werde ich umsetzen.
Danke.
Melde mich wieder wenns probleme gibt. Hier gibts schnelle Hilfe.

Sehr gutes Forum + User! :-D

[sledge0303]

Hast du schon mal darüber nachgedacht sowas wie einen abgesicherten Adminbereich einzurichten, so mit Passwortabfrage einließlich SSL Verschlüsselung?

Ne? Dann würde ich mal schleunigst um ein angemessenes Sicherheitskonzept kümmern ;)

PS: wenn du das nächste mal Auszüge aus den Logs postest, bitte in 'Code' Tags der Übersicht willen

[chacky]

hab eine htaccess und htpasswd angelegt.
zusätzlich seine ip per deny gebannt.

allerdings läuft sein mist weiter und produziert bei mir immer noch ein bisschen last.

wie stop ich den deppen?

[kase]

http://www.google.de/search?hl=de&q=ipt ... uche&meta=

[chacky]

und wie mach ich das unter win2k3?

[guwapo]

mittels IPSec. Aber sowas würde ich immer nur erst lokal ausprobieren sonst schließt du dich selbst aus.

[sledge0303]

und wie mach ich das unter win2k3?

http://www.rootforum.org/terms.html

Punkt 1

Das RootForum ist ein privates Forum für Administratoren dedizierter Linux-Server...

[chacky]

ja sry ich weis net wohin ich mich sonst wenden soll.
ich brauche nochmal dringend Hilfe.

Also egal was ich mache, sobals ich Apache starte geht das ganze von Seitens seiner IP weiter :(

Durch die .htaccess hast sich nichts verändert.
Wenn ich selbst probiere phpmyadmin aufzurufen vom eimen DesktopPC kommt auch die htaccess passwortabfrage.

trotz alledem:

Code: Select all

85.214.32.22 - - [14/May/2007:22:00:02 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=explosivo HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:02 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=ewaina1 HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:04 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=expoexpo HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:04 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=ewakurcz HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:05 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=expres HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:05 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=ewan4372 HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:07 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=express HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:07 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=ewans HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:08 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=expresvu HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:08 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=ewelina HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:11 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=ewellapb HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:11 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=exse12 HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:13 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=extradry HTTP/1.0" 401 1373
85.214.32.22 - - [14/May/2007:22:00:13 +0200] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=ewol111 HTTP/1.0" 401 1373

usw.. ich weis nicht mehr was ich tun soll.

und wenn ich eine htaccess datei anlege mit:

Code: Select all

order deny, allow
deny from 85.214.32.22

produziert die apache error log ständig:

Code: Select all

order not allowed here

[sledge0303]

Die IP per IPsec blocken, wird aber bestimmt nicht viel nutzen wenn der Angreifer mehrere Kisten/IPs im 'Angebot' hat...

[chacky]

ich muss zugeben dass ich überhaupt keine ahnung davon habe..
argh.

[flo]

Fehlercode 302 ist für ich definitiv etwas anderes als Fehlerode 401 - die Auth greift, er kommt aber nicht soweit, weil er vorher per "deny" geblockt wird - eigentlich optimal.

[chacky]

aber ich hab jetzt wirklich nur die htaccess + htpasswd verwedet, also nur username + passwort.

wenn ich versuche die ip zu blocken durch:

Code: Select all

order deny, allow 
deny from 85.214.32.22 

dann produziert die error log nur:

Code: Select all

order not allowed here

, also greift deny noch net?

Hab in der httpd.conf auch

Code: Select all

<Directory />
    Options FollowSymLinks
    AllowOverride All
    Order deny,allow
    Deny from all
</Directory>

Das stand vorher auf: AllowOverride None, aber auch durch die Umstellung hat sich das nicht geändert :(

[flo]

stimmt, dann wäre das 403 ... wie sieht denn der Container im virtuellen Host aus?

[chacky]

hab xampp 1.6.1 für windows installiert und eigtl nichts bis auf ein paar vorgeschlagene sicherheitsmaßnahmen umgesetzt.

der phpmyadmin ordner befindet sich auch außerhalb vom htdocs ordner. gehört das so?

wie meinst du das mit "Container im virtuellen Host"

sry ich bin echt noch totaler Laie auf dem Gebiet.

[guwapo]

Die IP per IPsec blocken, wird aber bestimmt nicht viel nutzen wenn der Angreifer mehrere Kisten/IPs im 'Angebot' hat...

Stimmt, aber ich hatte ja oben schon gesagt, sollte das der Fall sein müsste chacky sowieso an Strato direkt wenden (zumindest vorab Warnung geben bevor die Kiste runtergenommen wird).

Aber nur in den seltensten Fällen (also gezielter Takedown, das hier ist ja nur ein Bruteforce) besitzt so einer überhaupt mehr als 10 IP Adressen. Sowas geht dann noch übersichtlich manuell.

Unter Windows kenne ich da leider kein Automatisierungsprozess (ist halt GUI, großartig Skripte wirste da nicht schreiben können - ausser mit VB ;) )

wegen htaccess (allerdings unbestätigt.. google mal nach "htaccess IP block"):

Code: Select all

order allow,deny
deny from 127.0.0.1
allow from all

hab xampp 1.6.1 für windows installiert und eigtl nichts bis auf ein paar vorgeschlagene sicherheitsmaßnahmen umgesetzt.

Dann lösch wieder XAMPP, denn das ist das größte Sicherheitsrisiko überhaupt! Dein Server wird doch nicht auch noch Produktiv - entgegen aller Warnungen seitens apachefriends - benutzt oder?

der phpmyadmin ordner befindet sich auch außerhalb vom htdocs ordner. gehört das so?

Schaden kann es nicht.

wie meinst du das mit "Container im virtuellen Host"

Lies dich mal durch die Apache-Manuals durch. Ich habe so das Gefühl du hast nicht einmal dein Apache richtig im Griff.

ja sry ich weis net wohin ich mich sonst wenden soll.

Da muss ich chacky (zumindest etwas) in Schutz nehmen. Es gibt wirklich keine guten Communities für Windows Dedicated Nutzer, so wissen sicherlich nur 10% (der "Hobby" Sysadmins) was IPSec ist. Aber nun gut das ist halt die Strafe dafür, das viele Denken mit Windows *klicki-bunti* komm ich klar.
Aber HELFT ihn lieber, er ist potenziell unser nächster Angreifer ;P

[sledge0303]

Xampp? Dazu noch auf einem öffentlichen Server 'installiert'? [-o<
Da geht einem ja das Messer in der Hose auf wenn ich sowas lese. Wenn es schon unbedingt eine Windoofs Kiste sein muss, dann sollte man sich schon die Mühe machen den IIS, Apache2 oder Lighty installieren und konfigurieren.
Dazu noch passende IPsec Rules, AD und die Umgebung entsprechend absichern... Unabhängig davon, Windows hat in einer öffentlichen Umgebung nichts zu suchen. Jedes installierte 'Feature', in dem Fall die GUI des 2k3, bietet dem 'interessierten' Angreifer eine zusätzliche Angriffsfläche.