Probleme mit Apache

Apache, Lighttpd, nginx, Cherokee
mussprogen
Posts: 17
Joined: 2007-09-11 21:32

Probleme mit Apache

Post by mussprogen » 2007-10-10 20:31

Hallo!
Ich kriege täglich Fehlermeldungen bei Apache. Ich weiß aber nicht warum...
Mein Server ist bei 1und1 und ich habe Apache2.

Hier ein Ausschnitt davon:

Code: Select all

[Wed Oct 10 00:04:11 2007] [error] [client xxx.xxx.xx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Wed Oct 10 02:51:12 2007] [error] [client xxx.xx.xxx.xxx] request failed: error reading the headers, referer: http://www.domain.de/file.php
[Wed Oct 10 08:09:28 2007] [error] [client xx.xx.xx.xx] request failed: error reading the headers
[Wed Oct 10 08:38:48 2007] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Wed Oct 10 11:22:49 2007] [error] [client xx.xx.xx.xxx] script not found or unable to stat: /srv/www/vhosts/default/cgi-bin/links, referer: http://www.domain.de/file.php
Not a JPEG file: starts with 0x47 0x49
[Wed Oct 10 17:55:43 2007] [error] [client xx.xxx.xx.xxx] request failed: error reading the headers, referer: http://www.domain.de/file.php


Hat jemand eine Idee, wieso ich bei Apache solche Fehlermeldungen habe?

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Probleme mit Apache

Post by flo » 2007-10-10 20:48

client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)


Das steht doch da ... ein Client schickt einen http1.1-Request ohne den dazu gehörenden Hostnamen!?

Die Frage ist, wie oft das auftritt, wie oft das auftritt und ob das ganze in einen Fehler rauscht - in dem Fall würde ich mir keine Sorgen machen, solange solche Zugriffe nicht alle 2 Sekunden kommen.

flo.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Probleme mit Apache

Post by Joe User » 2007-10-10 21:05

Code: Select all

Not a JPEG file: starts with 0x47 0x49

Da versucht ein schlampig programmiertes Tool eine vorhandene Sicherheitslücke auszunutzen. Deine WebApp ist unsicher und dieser Angreifer glücklicherweise zu dumm...

mussprogen
Posts: 17
Joined: 2007-09-11 21:32

Re: Probleme mit Apache

Post by mussprogen » 2007-10-10 21:08

flo wrote:Das steht doch da ... ein Client schickt einen http1.1-Request ohne den dazu gehörenden Hostnamen!?

Die Frage ist, wie oft das auftritt, wie oft das auftritt und ob das ganze in einen Fehler rauscht - in dem Fall würde ich mir keine Sorgen machen, solange solche Zugriffe nicht alle 2 Sekunden kommen.
flo.


Das genau ist das Problem!

Es gibt Tage, da tritt das Problem in einem Tag paar hundert mal auf :(

Meisten zu Zeiten, wo viel los ist.

Wie kann man diesen Fehler interpretieren? Kommt Apache da mit den Fragen nicht mehr zurecht und muss Fehler melden, oder wie ist das zu sehen?

mussprogen
Posts: 17
Joined: 2007-09-11 21:32

Re: Probleme mit Apache

Post by mussprogen » 2007-10-10 21:17

Joe User wrote:Da versucht ein schlampig programmiertes Tool eine vorhandene Sicherheitslücke auszunutzen. Deine WebApp ist unsicher und dieser Angreifer glücklicherweise zu dumm...


Ist es auf jeden Fall eine Sicherheitslücke? Weil bei mir kann man auch Bilder hochladen. Dies geschiet über ein Upload Script, das aber nur dann speichert, wenn es ein JPEG ist. Könnte das der Grund dieser Fehlermeldung sein?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Probleme mit Apache

Post by Joe User » 2007-10-10 21:25

mussprogen wrote:Ist es auf jeden Fall eine Sicherheitslücke?

Wenn Du respektive Deine WebApp die Fehlermeldung nicht ins error_log geschrieben ha(s)t, ja.
mussprogen wrote:Weil bei mir kann man auch Bilder hochladen. Dies geschiet über ein Upload Script, das aber nur dann speichert, wenn es ein JPEG ist. Könnte das der Grund dieser Fehlermeldung sein?

Im Gegensatz zu Dir kenne ich den Source Deiner WebApp nicht...

mussprogen
Posts: 17
Joined: 2007-09-11 21:32

Re: Probleme mit Apache

Post by mussprogen » 2007-10-10 21:36

Joe User wrote:Wenn Du respektive Deine WebApp die Fehlermeldung nicht ins error_log geschrieben ha(s)t, ja.

Wie finde ich raus, wo genau diese Lücke ist. bzw. wie versucht er diese Lücke auszunutzen? Hast du deine eine Vermutung, wie man solch eine Fehlermeldung erzeugen kann?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Probleme mit Apache

Post by Joe User » 2007-10-10 23:01

Typischerweise wird diese Art von Exploit mittels einer vermeintlichen Bilddatei, welche entweder ein Script im Header (beispielsweise EXIF) enthält, oder komplett aus einem Script besteht, durchgeführt. Diese Bilddatei wird von anfälligen WebApps oder anderer Software nicht beziehungsweise nur unzureichend auf Echtheit geprüft. Meist wird nur auf das Vorhandensein einer Fileextension (jpg, png, gif, tiff, etc..) geprüft und die Datei einfach im Dateisystem abgelegt. Nun reicht das simple Aufrufen dieser Datei durch den Angreifer und die anfällige WebApp/Software führt das eingebettete Script aus, statt nur das, sofern überhaupt vorhandene, Bild anzuzeigen. Durch diese Art von Exploits werden häufig PHP-Shells wie r57 eingeschleust, da viele PHP-Scripts diesbezüglich schlampig programmiert und die meisten Webserver unzureichend konfiguriert sind.

Um die Lücke, sofern vorhanden, in Deiner WebApp zu finden, musst Du die kompletten Funktionen vom Upload bis zum Anzeigen der Bilder auf potentielle Schwachstellen prüfen (lassen). Pauschalieren kann man hierbei leider nicht...

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Probleme mit Apache

Post by flo » 2007-10-11 00:05

Dann fängt es aber auch schon an, daß referer und Client dazu interessant wären, ob sich das häuft, ob die Fehlermeldung eine vom Script aktiv erzeugt ist, wie im Vergleich die Zugriffe aussehen, und, und, und ...