RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

error.log Einträge -Hacker versuche?

https://www.rootforum.org/forum/viewtopic.php?t=47033

Page 1 of 1

error.log Einträge -Hacker versuche?

Posted: 2007-09-06 00:44
by hartmutwg
Ich habe mir eben mein Error log angesehen, eigentlich war dies immer mit wenigen Ausnahmen leer, darin befinden sich nun unmengen an Einträgen dieser Art:

Code: Select all

[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/administrator
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/administrator
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/administrator
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/administrator
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/PMA
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/mysql
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/xampp
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/typo3
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/mysqladmin
[Wed Aug 22 18:52:09 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/admin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/db
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/dbadmin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/web
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/admin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/admin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin2
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin1
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpadmin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/myadmin
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.2.3
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.6
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.7-pl1
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.6.0
[Wed Aug 22 18:52:10 2007] [error] [client 87.106.72.102] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.6.0-pl3
Das ist nur ein ganz kleiner Auszug!
Die IP ist natürlich auch nicht immer die selbe.
Mal wird in default nach allen möglichen Versionen, die es mal zum Download gab, von PhpMyAdmin gesucht mal nach db, database, sql, plesk usw. usw

Ausser dem Versuch von aussen da was zu finden kann ich mir diese Einträge nicht erklären, einer von euch?

Gruß
Hartmut[/code]

Re: error.log Einträge -Hacker versuche?

Posted: 2007-09-06 00:50
by Joe User
Stinknormaler Vulnscan, ungefährlich, sofern Du keine der löchrigen Applikationen/Versionen und/oder Erweiterungen betreibst.

Re: error.log Einträge -Hacker versuche?

Posted: 2007-09-06 08:14
by hartmutwg
Danke für die rasche Antwort.
Beruhigt, bleibt aber störend weil
1. was hat er/sie davon das zu machen? OK, ich denke halt eine schwachstelle suchen
2. Mein Error.log in 24 Stunden dadurch über 1MB groß wird und ich sinnvolle Fehlermeldungen zwischen all diesen Scan Einträgen suchen muss.

Gruß
Hartmut

Re: error.log Einträge -Hacker versuche?

Posted: 2007-09-06 08:43
by daemotron
Na ja, gegen die Größe der Logfiles hilft nur logrotate :wink: Und was das herausfiltern wirklich interessanter Fehler und Warnungen angeht - dafür würde ich mir ein kleines Shell- oder Perlskript schreiben, dass Muster bekannter Versuche bestenfalls durchzählt und dann einen bereinigten Extrakt zur näheren Analyse zur Verfügung stellt.

Re: error.log Einträge -Hacker versuche?

Posted: 2007-09-06 22:25
by tomotom
jfreund wrote:Na ja, gegen die Größe der Logfiles hilft nur logrotate :wink: Und was das herausfiltern wirklich interessanter Fehler und Warnungen angeht - dafür würde ich mir ein kleines Shell- oder Perlskript schreiben, dass Muster bekannter Versuche bestenfalls durchzählt und dann einen bereinigten Extrakt zur näheren Analyse zur Verfügung stellt.
Das macht z.B. Ossec ganz vernünftig und informiert Dich dann bei entsprechenden Levels per Mail. Die Regeln sich in einander verschachteld und lassen sich gut anpassen. Die Massenscanns nach bekannten Installationen werden mit Ossec auf ein Minimum reduziert (Dann wachsen auch die Logfiles nicht so schnell).
All times are UTC+01:00
Page 1 of 1