Da werde ich wohl angegriffen...

Apache, Lighttpd, nginx, Cherokee
Anonymous

Da werde ich wohl angegriffen...

Post by Anonymous » 2007-11-11 20:49

Hallo, ich habe einen Windows 2003 V-Server mit IIS 6 am laufen. Nun habe ich seit Tagen ständig diese merkwürdigen HTTPERR-Logeinträge. Da scannt wohl jemand meinen Server ständig auf Sicherheitslücken. Und das jeden Tag seit knapp einer Woche:

Code: Select all

2007-11-11 02:39:18 91.126.25.179 3201 87.119.205.90 80 HTTP/1.1 GET /w00tw00t.at.ISC.SANS.DFind:) 400 - Hostname -
2007-11-11 06:00:25 87.119.231.206 52173 87.119.205.90 80 - - - - - Timer_ConnectionIdle -
2007-11-11 11:13:08 87.119.35.184 1105 87.119.205.90 80 - - - - - Timer_ConnectionIdle -
2007-11-11 15:28:26 87.119.35.184 3099 87.119.205.90 80 - - - - - Timer_ConnectionIdle -
2007-11-11 16:41:13 216.240.146.128 1602 87.119.205.90 80 HTTP/1.1 GET /w00tw00t.at.ISC.SANS.Pwn!t:) 400 - Hostname -
2007-11-11 17:25:28 213.215.41.138 2563 87.119.205.90 80 HTTP/1.1 GET /w00tw00t.at.ISC.SANS.DFind:) 400 - Hostname -


Ich glaube das mein System recht stabil läuft, und auch Nessus / HijackThis sehen keine Sicherheitsprobleme. Dennoch ist mir die Sache recht unbehaglich, dass da jeden Tag gescannt wird.

Meine Fragen:
1. Wie kann ich zu 100% ausschließen, dass der Angriff nicht geglückt ist? Mir ist nichts aufgefallen - es wurden keine Dateien kopiert, Trafficstatistik ist normal und auch sonst wurde nichts verändert. Aber ich habe Angst vor einer Backdoor o.Ä.

2. Was bedeuten die Logeinträge genau? "DFind" ist doch ein Scanner, oder? Aber was ist "Pwn!t"?

3. Kann ich diese ständigen Angriffe verhindern? IP-Bereich ausschließen geht ja nicht, weil es ständig eine andere ist.

Ich hoffe auf Hilfe. Danke

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Da werde ich wohl angegriffen...

Post by flo » 2007-11-11 21:01

Falsches Forum - wenn auch die eigentliche Problematik nicht unbedingt mit dem Windows-Server zu tun hat.

Ich hab solche Einträge auf jedem Rechner, jedem virtuellen Host - bei einer IP-Sperrung wäre T-Online, AOL und wie sie alle heißen schon komplett gesperrt, von der unnötigen Arbeit mal abgesehen.

Ignorier das.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11137
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Da werde ich wohl angegriffen...

Post by Joe User » 2007-11-11 21:21

marco.b wrote:Hallo, ich habe einen Windows 2003 V-Server mit IIS 6 am laufen.

Eigentlich ist Windows hier OffTopic, da Deine Frage aber auf alle OS zutrifft, lassen wir das OS mal aussen vor.
marco.b wrote:1. Wie kann ich zu 100% ausschließen, dass der Angriff nicht geglückt ist? Mir ist nichts aufgefallen - es wurden keine Dateien kopiert, Trafficstatistik ist normal und auch sonst wurde nichts verändert.

100% gibt es nicht, aber 90% hast Du bereits ausgeschlossen. Genauer ginge es mit dem Vergleich der MD5-Summen der originalen Dateien.
marco.b wrote:2. Was bedeuten die Logeinträge genau? "DFind" ist doch ein Scanner, oder? Aber was ist "Pwn!t"?

Die Logeinträge sind stinknormale Scans nach Sicherheitslücken und die Tools sind entsprechende Scanner.
marco.b wrote:3. Kann ich diese ständigen Angriffe verhindern?

Nein.

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: Da werde ich wohl angegriffen...

Post by flo » 2007-11-11 22:07

http://www.rootforum.org/forum/view ... hp?t=43916

Gibt noch einige andere Treffer dazu - prinzipell ist _dieser_ Zugriff harmlos.

Anonymous

Re: Da werde ich wohl angegriffen...

Post by Anonymous » 2007-11-12 17:50

Okay danke für die Antworten, und sorry dass ich am Forenthema vorbeigeschossen habe.