• Das Erstellen neuer Accounts wurde ausgesetzt. Bei berechtigtem Interesse bitte Kontaktaufnahme über die üblichen Wege. Beste Grüße der Admin

Hilfe, mein Apache wird angegriffen!

K

kutiku

Guest
Ich hab' mir heut' ganz zufällig mal die .log vom Apache angeschaut (weil mir was ganz merkwürdiges mit dem anderen Rechner passiert ist) und habe folgendes gefunden:


212.144.146.76 - - [04/Nov/2001:13:29:43 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 273
212.144.146.76 - - [04/Nov/2001:13:29:44 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 271
212.144.146.76 - - [04/Nov/2001:13:29:44 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 281
212.144.146.76 - - [04/Nov/2001:13:29:44 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 281
212.144.146.76 - - [04/Nov/2001:13:29:45 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
212.144.146.76 - - [04/Nov/2001:13:29:45 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
212.144.146.76 - - [04/Nov/2001:13:29:45 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
212.144.146.76 - - [04/Nov/2001:13:29:46 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 332
212.144.146.76 - - [04/Nov/2001:13:29:46 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 298
212.144.146.76 - - [04/Nov/2001:13:29:47 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
212.144.146.76 - - [04/Nov/2001:13:29:47 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
212.144.146.76 - - [04/Nov/2001:13:29:48 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
212.144.146.76 - - [04/Nov/2001:13:29:48 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 278
212.144.146.76 - - [04/Nov/2001:13:29:49 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 278
212.144.146.76 - - [04/Nov/2001:13:29:49 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
212.144.146.76 - - [04/Nov/2001:13:29:50 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
212.174.164.122 - - [04/Nov/2001:22:03:46 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 273
212.174.164.122 - - [04/Nov/2001:22:03:49 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 271
212.174.164.122 - - [04/Nov/2001:22:03:55 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 281
212.174.164.122 - - [04/Nov/2001:22:03:59 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 281
212.174.164.122 - - [04/Nov/2001:22:04:04 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
212.174.164.122 - - [04/Nov/2001:22:04:09 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
212.174.164.122 - - [04/Nov/2001:22:04:12 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312
212.174.164.122 - - [04/Nov/2001:22:04:17 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 332
212.174.164.122 - - [04/Nov/2001:22:04:20 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 298
212.174.164.122 - - [04/Nov/2001:22:04:23 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
212.174.164.122 - - [04/Nov/2001:22:04:29 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
212.174.164.122 - - [04/Nov/2001:22:04:31 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
212.174.164.122 - - [04/Nov/2001:22:04:34 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 278
212.174.164.122 - - [04/Nov/2001:22:04:37 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 278
212.174.164.122 - - [04/Nov/2001:22:04:39 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
212.174.164.122 - - [04/Nov/2001:22:05:03 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295

Soweit ich das verstehen kann, will da jemand einen "IIS-Bug" ausnutzen.
Ich kenn mich leider mit der Konfiguration von Apache nicht so gut aus.

Wie kann ich den Apache konfigurieren, so dass nur bestimmte IPs zugelassen werden (Ich hab' feste im LAN), bzw. das bei Fehlern(auch wenn auf nicht vorhandene Dateien zugegriffen wird) ein Script von mir aufgerufen wird!

Muss ich eigentlich mit W2k Angst vor fremden Menschen haben?


PS: Grad vor 20 Min. schon wieder!!! von der IP 212.174.164.122 wo kann man nachschauen, wem die IP gehört. Ich bin mir fast sicher, dass Sie entweder einem riesigen Provider gehört, der mir hoffentlich Auskunft über sein Logfile geben wird, oder es ist aber ein Webserver, der entweder ein fießes Script laufen lässt oder von 'nem noch fießeren Virus befallen ist.
Ich will RACHE!!!
 
Zuletzt bearbeitet:
Mit einen Apache hast du da wenig Probleme, diese Files gibt es einfach nicht, der Aufruf geht also ins Leere.

Die www.ripe.net sagt folgendes zu deiner gefragten IP:

inetnum: 212.174.160.0 - 212.174.164.255
netname: BIRNET
descr: BIRNET INFORMATION SYSTEMS
country: TR
admin-c: AK340-RIPE
tech-c: IK855-RIPE
status: ASSIGNED PA
mnt-by: AS9121-MNT
changed: ipg@telekom.gov.tr 19991028
source: RIPE


route: 212.174.0.0/16
descr: TurkTelecom
origin: AS9121
mnt-by: AS9121-MNT
changed: dnsadmin@turnet.net.tr 19990803
source: RIPE


person: Ahmet KUTAN
address: Birnet Ltd.
address: Ataturk Bulvari
address: No:131 Kat:6
address: 06640
address: ANKARA
address: TURKEY
phone: +90 312 419 6394
fax-no: +90 312 419 6392
e-mail: akutan@bir.net.tr
nic-hdl: AK340-RIPE
changed: dnsadmin@turnet.net.tr 19990806
source: RIPE


person: Ismail Kutan
address: Istanbul Cad. 48/72
address: 06060 Ankara TURKIYE
phone: +90 312 3841500
fax-no: +90 312 3841503
e-mail: mik01k@servis.net.tr
nic-hdl: IK855-RIPE
changed: hostmaster@knidos.cc.metu.edu.tr 19951204
changed: ripe-dbm@ripe.net 19990615
source: RIPE
Zum Vergrößern anklicken....

Wenn du türkisch kannst, dann mal ran und angerufen, vielleicht hast du Glück, und es spricht jemand da unten englisch!

Wie man bestimmte IP Adressen sperren kann? Ich meine, das geht irgendwie auch über die hosts.deny! Ansonsten schau mal http://httpd.apache.org/docs/misc/FAQ.html nach, da findest du es ganz bestimmt!
 
Zuletzt bearbeitet:
Das gleiche hatte ich auch schon mal, die IP die die Anfragen startet, das ist ein infizierter Server. Komisch, der Server der mich atakiert hat kam auch aus der Türkei glaub ich
 
Danke,
ich hab' noch mehrere IPs, die von ganz unterschiedlichen Ursprüngen her kommen.
Ich hab' denen allen mal 'ne Mail geschickt, in der Hoffung, dass die meine lahme ISDN-Verbindung nicht weiterhin beanspruchen (der Server ist eigentlich nur für's LAN gedacht).

Also, muss ich mir mit dem Apache keine Sorgen machen, oder?
 
Das ganze nennt sich W32.nimda, ist ein Netzwerkwurm der sich über den IIS, per Mail oder www verbreitet.

Brauchst keine Angst haben, dem Apache kann er nichts tun, nur dem IIS.
Meine Logs sind genauso voll mit dem Müll.

edit: die ip kannst du mit:
Order Allow,Deny
Deny from ...
blockieren, was aber nicht viel bringt weils einfach zu viele infizierte Server gibt.

mfg
acid
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben