Hallo,

ich hatte am Wochenende schonmal in der Rubrik Server gepostet
http://www.linuxforen.de/forums/showthread.php?s=&threadid=63152
Da ging es noch um wenige Logfileeinträge die ich mir nicht ganz erklären konnte. Heute habe ich den Logfile des Apaches wieder überflogen und musste feststellen das ich gestern in einer halben Stunde ca. 1200 Zugriffe hatte. Da ich nur einen TDSL Anschluss habe, kann das schon nervig werden :)
Hier mal ein Eintrag:

xxx.xxx.xxx.xxx - - [28/Jan/2003:18:59:39 +0100] "CONNECT irc.kingkimble.org:6667 HTTP/1.0" 200 1356

Die IP ist immer die gleiche. Wenn ich das richtig verstanden habe, soll mir die 200 zeigen das auch ein connect zustande gekommen ist. Ich denke da hat mich einer für ne DoS missbraucht.
Da das ganze über den Webserver läuft, habe ich den heute mal abgeschaltet. Es ist ein Apache 1.3.26 mit allen Patches die das Suse Update so anbietet. Kann mir diesmal einer helfen?

Grüße,

knorke

Setz doch schon einmal die SuSEfirewall2 auf ..... und laß keinen Verkehr zu. ;)
Solltest Du ein bereits ge-crack-tes System haben (gleich wie dies geschah), installiere es neu!

Gruß

irgendwer missbraucht deinen apache als proxy. eigentlich nichts besonderes - außer man hat es aktiviert...
btw. den logeintrag du du gepostet hast, versucht eine verbindung zum irc aufzunehmen - und dort kann diejenige person ziemlich "boese" sachen anrichten ;)

siehe: http://httpd.apache.org/docs/mod/mod_proxy.html

air

Hallo und danke. Das mit dem Proxy gucke ich mir mal genauer an. Die Firewall schliesse ich mal aus, da der Webserver ja schon ereichbar sein sollte.

Grüße,
Knorke

Eine laufe FW bedeutet selbstredend nicht, daß der Webserver nicht mehr erreichbar wäre!
Sehr wohl aber bedeutet es, daß selektiv Dienste angeboten/gesperrt werden können.

Gruß

Hallo,

ich habe eben den mod_proxy aus der httpd.conf entfernt und bis jetzt ist auch noch alles ruhig :)

@Stormbringer: Hast ja recht, ich hatte die SuSEfirewall auch schon installiert + konfiguriert, aber Port 80 war halt offen damit der Webserver erreichbar ist.

Also dann bis denne und danke nochmal an euch,

Knorke

toll!
und wie komm ich jetzt in irc ?
:D

j/k :ugly:

Hi@all,


habe bei mir in Logfile vom Webserver ähnliches gefunden:


Ip-Adresse---Datum----GET http://www.google.de/HTTP 1.1 200 1133


Werde ich da für irgendetwas benützt?


Timbo

Werde ich da für irgendetwas benützt?
verrat mir doch mal, wie google so gute antworten geben kann, wenn es nicht das web durchsuchen soll.

Hallo,

seid Ihr paranoid?

:confused:

Viele Grüße

Eicke

P.S. Danke Thomas Mitzkat

Hi,

@Netzmeister--ne, nur Wissensdrang

@ T.Mitzkat

Der Logeintrag schaut für mich so aus, als
ob jemand in der Adresszeile http://www.daheim.de/http://www.google.de

eingeben würde, nur das nacht keinen Sinn.

Du meinst das Suchmaschienen die auf Deiner Seite waren, das als
Info zurücklassen, damit der Webadmin weis da war Google da?


Timbo

wie gesagt, wenn man das proxy modul installiert hat - macht es sinn.

air

Hi,

bei mir ist aber nicht das Modul installiert und doch
zeigt das Logfile 200 an.


Timbo

hast du was dagegen wenn alles gelogt wird?
wofuer wurden den schonst die logfiles erfunden..

Hi,

nee überhaupt nicht, find ich sogar gut so,
aber irgendwie hab ich das Gefühl das ich
falsch verstanden werde.

Ich wollte doch blos wissen was der Eintrag bedeutet.


Timbo

Hi,

habs gerade auch gefunden:

xx.xxx.xxx.xx - - [02/Feb/2003:13:17:22 +0100] "CONNECT maila.microsoft.com:25 HTTP/1.0" 404 271

Heißt hier die 404, dass die Verbindung nicht hergestellt wurde oder wie? Proxy ist deaktiviert, sollte also irgendwie nicht funktionieren (hoffe ich zumindest mal...).

Thomas

Hi,

ja 404 = Not Found.

Aber bei mir ist bei www.google.de eben 200 und das heist OK.

Mich würde halt brennend interessieren, was dieser Eintrag
bedeutet?

Timbo

hi,

da heist nur das google deinen webserver mal besucht hat und jetzt eventuell öfter mal reinschaut ;).

cu

Hi,

wo ihr gerade dabei seid, kann mir kurz jemand bei der Interpretation folgender Zeile in /var/log/messages helfen?

kernel IN=ippp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL= 117 ID=64444 DF PROTO=TCP SPT=36685 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0

Bin bisher soweit gekommen:

kernel -> Meldung des Kernels

IN=ipp0 -> Device an dem das "Paket" angekommen ist ist die ISDN-Karte

OUT= -> Nichts ging raus?

MAC= -> ?

SRC=xxx.xxx.xxx.xxx -> Absender-IP

DST=xxx.xxx.xxx.xxx -> Empfänger-IP (meine)

LEN=48 -> Länge des Pakets ?

TOS=0x00 -> ?

PREC=0x00 -> ?

TTL=117 -> ?

ID=64444 -> ID des Pakets?

DF -> ?

PROTO=TCP -> Protokoll ist TCP

SPT=36685 -> Source Port, habe aber nach googelei nicht ausmachen können, was das für einer ist...

DPT=135 -> Destination Port - ist der TCP epmap? Was genau macht der?

WINDOW=16384 -> ?

RES=0x00 -> ?

SYN -> Synchrone Übertragung???

URGP=0 -> ?

Hatte auch mal in den Tipps und Tricks, sowie den FAQ geguckt, aber nichts zufriedendstellendes gefunden? Gibt's hier vielleicht irgendein Tutorial zum Thema log-files-Meldungen? vielleicht ein kleines "Wörterbuch" zum Thema?

War da ein Portscanner am Werk, oder was soll das gewesen sein? Muss ich meine Firewall anpassen? Traurig aber wahr, steige gerade erst ins Thema "Security" ein. Vielleicht habt ihr eine Buchempfehlung? Eine Einführungsseite, die ihr empfehlen könnt?

Bis dann und Danke schonmal,

Burger

Original geschrieben von Burger

TOS=0x00 -> type of service, nichts gesetzt
TTL=117 -> time to live, lebensdauer des paketes, jeder router verringert diesen wert um 1,
DF -> don't fragment, bit im header, paket darf nicht fragmentiert werden
SPT=36685 -> Source Port, ist client-seitig, daher frei gewählt
DPT=135 -> DCE, ist ein windows-rpc locator, dafür ist ein exploit bekannt
WINDOW=16384 -> grösse des tcp-window
SYN -> syn-bit gesetzt, eine connection wird angefordert


zusammengefasst:

jemand hat versucht, eine connection zu dem rpc-locator dienst auf deiner maschine aufzubauen, vermutlich um einen exploit für eine kürzlich bekannte schwachstelle anzuwenden.

-j

Hi,

ah, danke für die schnelle Antwort. Der RPC läuft bei mir auch, da ich gelegentlich den NFS-Server starte - läuft standardmäßig nicht, sonder ich schiebe den immer per Hand an.

Kann dieser Exploit auch dem Linux RPC gefährlich werden? Du schriebst ja was von DCE, einem Windows-locator....

Bis dann,

Burger

Original geschrieben von Burger

Kann dieser Exploit auch dem Linux RPC gefährlich werden? Du schriebst ja was von DCE, einem Windows-locator....


nein, dein portmapper läuft auf port 111 ist etwas anderes als DCE. allerdings sollte auch der portmapper von aussen nicht erreichbar sein, es sei denn, du willst nfs über internet mounten :)

-

Hi,

ne, nfs über's Internet muss nicht sein. Habe mir mal die Logs der letzen Woche geschnappt und die durchgesehen. Ist ja schon interessant, wer da so alles an meine Ports klopft. Darunter sind neben Kazaa und eDonkey auch 'ne Menge Trojaner. Das ist aber doch solange ungefährlich, wie ich keinen dieser Trojaner auf meinem Rechner habe, oder?

Also z.B. versuchte es einer auf Port 17300, was nach Auskunft dieser Datenbank

http://ports.tantalo.net/index.php?lng=de

"Kuang 2 - the virus" (ein Trojaner) sein sollte. Solange der nicht auf meinem System ist, kann er doch auch nicht antworten, oder? Selbst wenn der Port offen sein sollte?!

Bis dann,

Burger

Original geschrieben von Burger

"Kuang 2 - the virus" (ein Trojaner) sein sollte. Solange der nicht auf meinem System ist, kann er doch auch nicht antworten, oder? Selbst wenn der Port offen sein sollte?!


wenn der nicht auf deinem system ist, ist der port i.d.R. auch nicht offen. kein problem also.

-j

Passt nicht ganz ins Thema, ist aber ziemlich anschaulich:
Einige Server-Betreiber sind der Meinung "Notfalls wird der
Server neu aufgebaut/aus der letzten Datensicherung
wieder hergestellt.."

Dass noch ganz andere böse Folgen möglich sind, belegen
zwei Praxisberichte bei Heise "Der Trojaner ist schuld" und
seine Existenzfolgen


.. Gleichwohl verlor der Mann nach Bekanntwerden der Anschuldigung
seinen Arbeitsplatz als Kommunikationstechniker und musste
von seinem Wohnort wegziehen, weil er von aufgebrachten Menschen
belästigt wurde ..

http://www.heise.de/tp/deutsch/inhalt/te/15422/1.html

Hi,

@Jasper: Aha, das heißt also, die Ports sind nicht generell einfach "da", sondern werden erst durch Programme initiert, bzw. geschaffen? Ich hatte mir das bislang immer so vorgestellt, dass es eine bestimmte Zahl an Ports gibt, die einfach da sind und die dann benutzt werden können - was natürlich ein ziemlich riskantes Konzept gewesen wäre...

danke für deine (geduldigen) Ausführungen!

Bis dann,

Burger

Hallo zusammen

@Burger
Also das mit den Ports muss du dir so vorstellen.
Eine IP Adresse besteht aus 4 Blöcken zu jeweils einem Byte.
Ein Byte sind acht BIT und das maximum bei 8 BIT sind 255.
MAximale IP Adresse die an haben kann
255.255.255.255

Jetzt gibt es noch die Ports
Es gibt Ports von 0 bis 65535
Ein Port besteht aus 4Bytes und 65535 ist das MAximum davon.

Dann gibt es nich die Sockets.
Ein Socket ensteht nur dann wenn eine Ip Adresse mit einem Port verknüpft wird.
Sockets werden oft in den Programmiersprachen eingesetzt.
Das heisst wenn du ein Socket erstellst mit der der IP Adresse 123.111.111.1 und dem Port 12343, dann fängt der Rechner an auf dem Port zu horchen.
Wenn jetzt anfragen von aussen auf dem Port kommen dann wird das von dem Scoket bearbeitet und eventuell ausgeführt.

Ein Trojaner macht nichts anderes.
Wenn du dich infiziert hast, dann öffnet der Trojaner einen Socket mit eine gewissen port und horcht drauf. Jetzt ist dein Port offen und man kann dich von aussen angreifen.

jetzt habe ich endlich begriffen was ein socket ist...
aber wenn du eine tcp/httpverbingung zu google nach port 80 machst und dabei bei dir den port 32565 oder wie auch immer öffnest für die kommunikation, machst du dann ein socket auf das auf die antwort von google wartet?

Eins moechte ich auch noch einwerfen: Wenn man nun einen Eindringling auf einem Server hatte sollte man diesen vom Netz nehmen, die Luecke finden und dichtmachen. Und erst dann wieder ans Netz haengen. Wenn es nicht 100% zu klaeren ist, was auf dem Server gemacht/ installiert worden ist...Neuinstallation. Es ist eigentlich unverantwortlich seinen Server anderen in dieser Art zur Verfuegung zu stellen.

Gruss
Liberace

Original geschrieben von CoTech
Ein Port besteht aus 4 Bytes und 65535 ist das MAximum davon.

2 Byte, nicht 4