Re: apache-Log --- komische Eintraege
Hallo Dirk, ganz schnell nochmal vor Weihnachten: On 12/22/2002 12:26 AM, Dirk Dettmering wrote: Mojn, Max Dittrich wrote: On 11/19/2002 7:39 PM, Marius-Dieter Noetzel wrote: ich habe seit gestern sehr komische lOgeintraege in der Access_log marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] \xe3 501 - - - [snip] Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind. Leider finde ich beim google'n auch nichts brauchbares. Andere Admins ´haben von diesen Eintraegen noch nichts bemerkt. Komisch ist das allerdings schon, da auf dem Server hier eigentlich garnichts laeuft. Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der Server auch nicht sehr lange. nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings praktisch nur dyn. t-online ips zu sein die hier anfragen. Schön wenn Du investigative Instrumente einsetzt - Du scheinst ein Forschergeist zu sein. Vielleicht möchtest Du Dich mit deinem Lieblingssniffer auf die Lauer legen (tcpdump -s 0 -w /tmp/strange_req.dump -c 1 port 80 ) und entdeckst einen neuen Wurm oder ähnliches Ungeziefer. Die Ausgabe des Dumps wäre interessant, allerdings scheint das in keinerlei Hinsicht ein HTTP-Request zu sein. BTW läuft der Apache auf dem gemeinen Port 80, unter einer festen IP? OK, beim letzten mal war es dafür zu spät, aber ich habe dieses Phänomen jetzt noch 2 weitere male erlebt, das letzte mal ist gerade noch voll im Gange. Die Daten dazu findet ihr unter: http://pc16154.pharmazie.uni-marburg.de/apache/ Schön, mit dem Dump kann man was anfangen. Wenn Du Dir den Dump mit ethereal oder ganz einfach mit strings ansiehst, deuten die Klartextanteile der Daten, die die Clients nach Verbindungsaufbau senden, ziemlich auf eDonkey bzw. eMule hin. emule.dyndns.org Der Dude[emule.de hubi [emule.de] http://emule-proj eMule v0.23b [Tar Also scheint es kein Exploit sondern mal wieder ein Folge des 24h-Disconnect von T-DSL und Du kannst Dich glücklich schätzen die IP-Addresse eines eDonkey-Servers geerbt zu haben. :) Das komische ist, das tritt nur zu Hause auf meinem Serverchen mit dynamischer IP und DSL-Flat über T-Online auf. Auf den anderen 8 Webservern, die ich administriere, habe ich sämtliche Logs der letzten 12 Monate durchgegrept und auch nicht einen einzigen entsprechenden Eintrag gefunden. Nicht komisch, Deine dynamisch zugeteilte IP ist halt noch in irgendwelchen Serverlisten für o.e. Filesharingddienste verzeichnet, wovon Deine fest angeschlossenen Server verschont bleiben. [...] keine Zeit, keine Zeit und ein frohes Fest .max
Re: apache-Log --- komische Eintraege
Mojn, Max Dittrich wrote: On 11/19/2002 7:39 PM, Marius-Dieter Noetzel wrote: ich habe seit gestern sehr komische lOgeintraege in der Access_log marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] \xe3 501 - - - [snip] Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind. Leider finde ich beim google'n auch nichts brauchbares. Andere Admins ´haben von diesen Eintraegen noch nichts bemerkt. Komisch ist das allerdings schon, da auf dem Server hier eigentlich garnichts laeuft. Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der Server auch nicht sehr lange. nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings praktisch nur dyn. t-online ips zu sein die hier anfragen. Schön wenn Du investigative Instrumente einsetzt - Du scheinst ein Forschergeist zu sein. Vielleicht möchtest Du Dich mit deinem Lieblingssniffer auf die Lauer legen (tcpdump -s 0 -w /tmp/strange_req.dump -c 1 port 80 ) und entdeckst einen neuen Wurm oder ähnliches Ungeziefer. Die Ausgabe des Dumps wäre interessant, allerdings scheint das in keinerlei Hinsicht ein HTTP-Request zu sein. BTW läuft der Apache auf dem gemeinen Port 80, unter einer festen IP? OK, beim letzten mal war es dafür zu spät, aber ich habe dieses Phänomen jetzt noch 2 weitere male erlebt, das letzte mal ist gerade noch voll im Gange. Die Daten dazu findet ihr unter: http://pc16154.pharmazie.uni-marburg.de/apache/ Das komische ist, das tritt nur zu Hause auf meinem Serverchen mit dynamischer IP und DSL-Flat über T-Online auf. Auf den anderen 8 Webservern, die ich administriere, habe ich sämtliche Logs der letzten 12 Monate durchgegrept und auch nicht einen einzigen entsprechenden Eintrag gefunden. In #freebsd.de habe ich jemanden getroffen, der beim 2. mal zur selben Zeit das gleiche Phänomen hatte, ebenfalls mit DSL über T-Online. Der vermutete damals, daß es vielleicht mit dem dyndns-Update zusammenhängen könnte, aber ich konnte bei mir keinerlei Hinweis auf einen derartigen Zusammenhang entdecken (ich benute auch den dyndns). Ich habe mal gegoogelt, aber habe nix gefunden, was darauf so direkt paßt. Alle Exploits, die ich gefunden habe, enthielten den String \xe3 nur als kleinen Teil (z.B.: http://www.securiteam.com/exploits/5VP0L0U7FM.html oder http://packetstormsecurity.nl/0209-exploits/apache-linux.txt). Aber vielleicht können die Experten ja aus dem tcpdump erkennen, daß auch hier der String nur ein Teil ist, mir sagt das leider nix. Ich frage mich nur, wenn es sich um einen der normalen Apache-Exploits handelt, wieso sollte das dann ausgerechnet auf Homeuser mit dynamischen IPs ausgerichtet sein, wo doch Server mit fester IP und Anbindung viel interessanter wären? Der einzige vernünftige Grund, der mir plausibel erscheint, wäre, daß Rechner zu Hause vielleicht allgemein schlechter administriert werden. Gruß Dirk
apache-Log --- komische Eintraege
Hallo zusammen... ich habe seit gestern sehr komische lOgeintraege in der Access_log marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] \xe3 501 - - - marno.dtip.de 80.134.50.234 - - [19/Nov/2002:19:30:06 +0100] \xe3P 501 - - - marno.dtip.de 80.128.196.16 - - [19/Nov/2002:19:30:13 +0100] \xe3C 501 - - - marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:30:18 +0100] \xe3= 501 - - - marno.dtip.de 217.82.70.221 - - [19/Nov/2002:19:30:30 +0100] \xe3 501 - - - marno.dtip.de 80.134.50.234 - - [19/Nov/2002:19:30:51 +0100] \xe3P 501 - - - marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:32:10 +0100] \xe3= 501 - - - marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:32:19 +0100] \xe3= 501 - - - marno.dtip.de 217.234.188.234 - - [19/Nov/2002:19:32:36 +0100] \xe3; 501 - - - marno.dtip.de 217.234.188.234 - - [19/Nov/2002:19:32:37 +0100] \xe3; 501 - - - Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind. Leider finde ich beim google'n auch nichts brauchbares. Andere Admins ´haben von diesen Eintraegen noch nichts bemerkt. Komisch ist das allerdings schon, da auf dem Server hier eigentlich garnichts laeuft. Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der Server auch nicht sehr lange. nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings praktisch nur dyn. t-online ips zu sein die hier anfragen. Nur verstehe ich absolut nicht was das ist. Wer kann mir was dazu sagen? Bin ja schon fast etwas beunruhigt :) Gruss Marius --- Key Account Care Gunter Fels MDN Internet Network Service Ltd. Tel.: 01803-3339595 http://www.m-d-n.biz ---
Re: apache-Log --- komische Eintraege
* Marius-Dieter Noetzel wrote: ich habe seit gestern sehr komische lOgeintraege in der Access_log marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] \xe3 501 - - - Viel Sinn ergibt das nicht, der Apache müsste im Prinzip alle Anfragen, die mit einem \ anfangen als unzulässig zurückweisen, von daher würde ich mir keine Sorgen machen, ist ggf. nur ein kaputtes Script von irgendwem. Im Zweifelsfall gibt es da nen Thread in dcoulm (http://groups.google.com/groups?th=979dbfcaca109fe7) aber das weisst du ja schon, wo solche Fragen an sich nichts verloren haben, übrigens.
Re: apache-Log --- komische Eintraege
Viel Sinn ergibt das nicht, der Apache müsste im Prinzip alle Anfragen, die mit einem \ anfangen als unzulässig zurückweisen, von daher würde ich mir keine Sorgen machen, ist ggf. nur ein kaputtes Script von irgendwem. Aehm einige hundert Anfragen an einem Tag, von verschiedensten IP's sehen irgendwie nicht nach nem kaputten script aus oder wie meinst du? Auf dem Apache ist ja eigentlich nichts drauf, daher kann es von Ihm eigentlich nicht ausgehen. Insbesondere normale Anfragen gibt es auf dem Apache vielleicht 3-4 am Tag. Ne Webseite ist praktisch garnicht vorhanden. Im Zweifelsfall gibt es da nen Thread in dcoulm (http://groups.google.com/groups?th=979dbfcaca109fe7) aber das weisst du ja schon, wo solche Fragen an sich nichts verloren haben, übrigens. Welche Fragen haben wo nichts verloren? Grusss Marius
Re: apache-Log --- komische Eintraege
* Marius-Dieter Noetzel wrote: Auf dem Apache ist ja eigentlich nichts drauf, daher kann es von Ihm eigentlich nicht ausgehen. Du hast doch selbst schon festgestellt, dass es von T-Online Dialin Rechnern kommt... Im Zweifelsfall gibt es da nen Thread in dcoulm (http://groups.google.com/groups?th=979dbfcaca109fe7) aber das weisst du ja schon, wo solche Fragen an sich nichts verloren haben, übrigens. Welche Fragen haben wo nichts verloren? Fragen zu Webserver-Problemen in einer nicht-Webserver-Gruppe.
Re: apache-Log --- komische Eintraege
Hallo, Du hast doch selbst schon festgestellt, dass es von T-Online Dialin Rechnern kommt... Naja, das ist erstmal richtig, nur die Frage bleibt bestehen, wieso das so ist, und vorallem mal ganzbloed gesagt wieso auf diesem praktisch ungenutzen System. Ich gebe mich nur sehr ungern mit einem Ist halt so weils so ist zufrieden. Man muss ja wohl zugeben, es ist schon komisch... Gruss Marius
Re: apache-Log --- komische Eintraege
Liebe Liste, Marius, [...] Viel Sinn ergibt das nicht, der Apache müsste im Prinzip alle Anfragen, Aehm einige hundert Anfragen an einem Tag, von verschiedensten IP's sehen irgendwie nicht nach nem kaputten script aus oder wie meinst du? Ich habe auch einen nicht zu kleinen Server. Der ist insoweit einigermaszen repraesaetativ. Aber ein grep auf xe3 ueber access.log ergibt absolut nix. Mit freundlichen Gruessen, Martin Ebert -- Mail-Lügen zum WTC-Attentat: http://www.klug-suchen.de/wtc/ http://www.klug-suchen.de/ http://www.bahnsuche.de/ http://www.wb-online.de/