Seltsame Zugriffe auf Webserver

Seite 1 von 1 - Forum: Coding Stuff auf overclockers.at

URL: https://www.overclockers.at/coding-stuff/seltsame_zugriffe_auf_webserver_18980/page_1 - zur Vollversion wechseln!

Also gleichmal zwei Entschuldigungen vorweg:
1. Die Suchfunktion geht zur Zeit net, also konnte ich net gemütlich nachschaun, ob zu dem Thema schon mal etwas geschrieben wurde.
2. Falls falsches Forum -> bitte lieb sein und moven.

Hier hab ich mal einen kleinen Auszug aus demm error_log eines Webservers den ich betreue:
[quote]
[Thu Nov 29 05:08:26 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe
[Thu Nov 29 05:08:26 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe
[Thu Nov 29 05:08:27 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.exe
[Thu Nov 29 05:08:27 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.exe
[Thu Nov 29 05:08:27 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Thu Nov 29 05:08:28 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Thu Nov 29 05:08:28 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Thu Nov 29 05:08:28 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
[Thu Nov 29 05:08:28 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/scripts/..Á../winnt/system32/cmd.exe
[Thu Nov 29 05:08:29 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/scripts/..À¯../winnt/system32/cmd.exe
[Thu Nov 29 05:08:29 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/scripts/..Áœ../winnt/system32/cmd.exe
[Thu Nov 29 05:08:30 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Thu Nov 29 05:08:30 2001] [error] [client xxx.xxx.xxx.xxx] File does not exist: /usr/local/httpd/htdocs/scripts/..%2f../winnt/system32/cmd.exe
[/quote|

Diese Zugriffe treten seit 18. September teilweise von mehreren verschiedenen Rechnern an einem Tag auf, praktisch täglich. Es ist ein kleiner Server von einem kleinen Verein und ich bin nur ein kleiner Maxe, drum schau ich mir das error_log net so oft an.

Wurscht sollt's ja im Prinzip sein, weil der Server eh unter Suse Linux läuft und das nach einem Skript aussieht welches Windoof-Server angreift, bin halt nur neugierig was das ist. Etwa einer der berühmten Würmer?

Dank für die vielen interessanten Infos!

Welchen Webserver hast installiert? Wenns a andrer als der IIS von Microsoft ist, hast Glück gehabt.

Schaut mich arg nach CodeRed oda Nimda an. Bin mir aber nicht sicher. Da noledge hat das gleiche schon gehabt und ich auch.
Wennst an andren WS als den IIS hast, kanns da wurscht sein, aussa dass du a wengal a höhere auslastung hast CPU mäßig wenn hunderte solcher Anfragen stattfinden (Dass es die Leitung aushalten muss, is natürlich der Kernpunkt)

Ich verwende Apache unter Suse Linux. Die Leitung ist kein Problem, der Server hängt an einem 10 MBit-LAN innerhalb der Uni und die Uni hat keine so schlechte Verbindung zum Rest der Welt.
Was mich ein bisserl nervt ist, daß das error_log dadurch recht unübersichtlich wird. Bin grade dabei die Einträge ein bisserl zu durchforsten und zu sortieren. Auf einen anderweitigen Angriffsversuch bin ich schon draufgekommen.
Der erste Tag (18. September) war übrigens der heftigste, da war zweieinhalb Stunden lang Trommelfeuer angesagt.
Der arme kleine Server ist doch nur ein unschuldiger 166er Pentium ... aber keiner hat Mitleid mit ihm.

Versuch rauszufinden wem die IP des angreifenden Rechners gehört und schick ihm nen Auszug des Logs mit den entsprechenden Zeilen und der Bemerkung er soll mal seinen Rechner ein wenig unter die Lupe nehmen...

overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025