PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Angriff auf Squid?



dingeling
29.05.06, 08:16
Hi,
in meiner cache.log finde ich öfters mal folgende Einträge:

May 26 18:50:25 xxxxx squid[14903]: urlParse: Illegal character in hostname 'xxxx.xxxxxxxx.xxxxxx.xxxxxxxx.de%c3%bc%c3%bc%c3%b c%c3%bc%c3%bc%c3%bc%c3%bc%c3%bc%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4+++++++++++++++++++%c3%a4%c3%a4%c3%a4%c3%a4%c 3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3% a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4 %c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c 3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3% a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4 %c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c 3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3% a4%c3%a4%c3%a4%c3%a4%c3%a4xxxxx.xxxxxxx.de'
May 26 18:50:25 xxxxx squid[14903]: urlParse: Illegal character in hostname 'xxxx.xxxxxxxx.xxxxxx.xxxxxxxx.de%c3%bc%c3%bc%c3%b c%c3%bc%c3%bc%c3%bc%c3%bc%c3%bc%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3 %a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a 4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4% c3%a4+++++++++++++++++++%c3%a4%c3%a4%c3%a4%c3%a4%c 3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3% a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4 %c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c 3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3% a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4 %c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c 3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3%a4%c3% a4%c3%a4%c3%a4%c3%a4%c3%a4xxxxx.xxxxxxx.de'
Nun kenne ich solche Einträge ja schon aus den Apache-Logs von irgendwelchen Würmern.
Versucht hier jemand meinen Server über Squid zu kompromittieren?
Squid ist in der Version 2.5.STABLE10 auf Suse10 installiert.

Columbo0815
29.05.06, 08:38
Sag jetzt bitte nicht, dass dein Squid von extern zu erreichen ist.

dingeling
29.05.06, 08:46
Nein, mein Squid ist nicht aus dem Internet erreichbar.
Aber wer sagt das Angriffe immer von "draußen" kommen müssen?

bla!zilla
29.05.06, 11:46
Also wenn der aus deinem Netz kommt, würde ich da mal auf die Suche gehen. Über den Timestamp müsstest du den Rechner in der access.log finden.

dingeling
29.05.06, 12:40
Also wenn der aus deinem Netz kommt, würde ich da mal auf die Suche gehen. Über den Timestamp müsstest du den Rechner in der access.log finden.
Dann gehe ich also davon aus, das es sich um einen Angriff handelt?
In der access.log würde es stehen - aber soweit ich informiert bin ist es ja datenschutzrechlich nicht unbedenklich solche Daten mitzuloggen.

Mir war wichtig zu wissen ob es sich tatsächlich um einen Angriff handelt - und von euren Reaktionen geh ich mal davon aus das es wirklich einer ist...

bla!zilla
29.05.06, 12:57
Im einfachsten Fall ein Wurm auf einem deiner Clients. Wenn du der Admin bist (hört sich für mich danach an) solltest du dir _jetzt_ Gedanken um dein Sicherheitskonzept machen.

dingeling
29.05.06, 16:52
Im einfachsten Fall ein Wurm auf einem deiner Clients. Wenn du der Admin bist (hört sich für mich danach an) solltest du dir _jetzt_ Gedanken um dein Sicherheitskonzept machen.
Bin dem ganzen nachgegangen. Die Angriffe kamen von einem PC, der öffentlich zugänglich ist und deshalb Squid unbedingt braucht(Authentfizierung fürs I-Net).
Authentifiziert hat der Angreifer sich nicht, das wäre zu einfach.
Auf dem Rechner ist Linux, und "sauber" ist er auch.
Wahrscheinlich hat ein Scriptkiddie wieder mal was schönes im Netz gefunden und wollts ausprobieren...
Bin ich froh das ich mir schon _vorher_ Gedanken um mein Sicherheitskonzept gemacht hab:ugly:

bla!zilla
29.05.06, 17:28
Ahhhh, das hört sich doch schon deutlich entspannter an. :)