Re: apache-Log --- "komische Eintraege"

[Dirk Dettmering <ap...@dettmering.org>]

Mojn,

Max Dittrich wrote:
> On 11/19/2002 7:39 PM, Marius-Dieter Noetzel wrote:
> > ich habe seit gestern sehr komische lOgeintraege in der Access_log
> >
> > marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] "\xe3<" 501 -
> > "-" "-"

[snip]

> > Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind.
> > Leider finde ich beim google'n auch nichts brauchbares.
> > Andere Admins ´haben von diesen Eintraegen noch nichts bemerkt.
> > Komisch ist das allerdings schon, da auf dem Server hier eigentlich
> > garnichts laeuft.
> > Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der
> > Server auch nicht sehr lange.
> > nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings
> > praktisch nur dyn. t-online ips zu sein die hier anfragen.
> 
> Schön wenn Du investigative Instrumente einsetzt - Du scheinst ein
> Forschergeist zu sein. Vielleicht möchtest Du Dich mit deinem
> Lieblingssniffer auf die Lauer legen (tcpdump -s 0 -w
> /tmp/strange_req.dump -c 10000 port 80 ) und entdeckst einen neuen Wurm
> oder ähnliches Ungeziefer. Die Ausgabe des Dumps wäre interessant,
> allerdings scheint das in keinerlei Hinsicht ein HTTP-Request zu sein.
> 
> BTW läuft der Apache auf dem gemeinen Port 80, unter einer festen IP?

OK, beim letzten mal war es dafür zu spät, aber ich habe dieses
Phänomen jetzt noch 2 weitere male erlebt, das letzte mal ist gerade
noch voll im Gange. Die Daten dazu findet ihr unter:
http://pc16154.pharmazie.uni-marburg.de/apache/
Das komische ist, das tritt nur zu Hause auf meinem Serverchen mit
dynamischer IP und DSL-Flat über T-Online auf. Auf den anderen 8
Webservern, die ich administriere, habe ich sämtliche Logs der letzten
12 Monate durchgegrept und auch nicht einen einzigen entsprechenden
Eintrag gefunden.
In #freebsd.de habe ich jemanden getroffen, der beim 2. mal zur selben
Zeit das gleiche Phänomen hatte, ebenfalls mit DSL über T-Online. Der
vermutete damals, daß es vielleicht mit dem dyndns-Update
zusammenhängen könnte, aber ich konnte bei mir keinerlei Hinweis auf
einen derartigen Zusammenhang entdecken (ich benute auch den dyndns).

Ich habe mal gegoogelt, aber habe nix gefunden, was darauf so direkt
paßt. Alle Exploits, die ich gefunden habe, enthielten den String \xe3
nur als kleinen Teil (z.B.:
http://www.securiteam.com/exploits/5VP0L0U7FM.html oder
http://packetstormsecurity.nl/0209-exploits/apache-linux.txt). Aber
vielleicht können die Experten ja aus dem tcpdump erkennen, daß auch
hier der String nur ein Teil ist, mir sagt das leider nix.
Ich frage mich nur, wenn es sich um einen der normalen Apache-Exploits
handelt, wieso sollte das dann ausgerechnet auf Homeuser mit
dynamischen IPs ausgerichtet sein, wo doch Server mit fester IP und
Anbindung viel interessanter wären? Der einzige vernünftige Grund, der
mir plausibel erscheint, wäre, daß Rechner zu Hause vielleicht
allgemein schlechter administriert werden.

Gruß

Dirk

Re: apache-Log --- "komische Eintraege"

[Max Dittrich <Ma...@t-online.de>]

Hallo Dirk,

ganz schnell nochmal vor Weihnachten:

On 12/22/2002 12:26 AM, Dirk Dettmering wrote:
> Mojn,
> 
> Max Dittrich wrote:
> 
>>On 11/19/2002 7:39 PM, Marius-Dieter Noetzel wrote:
>>
>>>ich habe seit gestern sehr komische lOgeintraege in der Access_log
>>>
>>>marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] "\xe3<" 501 -
>>>"-" "-"
> 
> 
> [snip]
> 
> 
>>>Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind.
>>>Leider finde ich beim google'n auch nichts brauchbares.
>>>Andere Admins ´haben von diesen Eintraegen noch nichts bemerkt.
>>>Komisch ist das allerdings schon, da auf dem Server hier eigentlich
>>>garnichts laeuft.
>>>Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der
>>>Server auch nicht sehr lange.
>>>nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings
>>>praktisch nur dyn. t-online ips zu sein die hier anfragen.
>>
>>Schön wenn Du investigative Instrumente einsetzt - Du scheinst ein
>>Forschergeist zu sein. Vielleicht möchtest Du Dich mit deinem
>>Lieblingssniffer auf die Lauer legen (tcpdump -s 0 -w
>>/tmp/strange_req.dump -c 10000 port 80 ) und entdeckst einen neuen Wurm
>>oder ähnliches Ungeziefer. Die Ausgabe des Dumps wäre interessant,
>>allerdings scheint das in keinerlei Hinsicht ein HTTP-Request zu sein.
>>
>>BTW läuft der Apache auf dem gemeinen Port 80, unter einer festen IP?
> 
> 
> OK, beim letzten mal war es dafür zu spät, aber ich habe dieses
> Phänomen jetzt noch 2 weitere male erlebt, das letzte mal ist gerade
> noch voll im Gange. Die Daten dazu findet ihr unter:
> http://pc16154.pharmazie.uni-marburg.de/apache/

Schön, mit dem Dump kann man was anfangen. Wenn Du Dir den Dump mit 
ethereal oder ganz einfach mit "strings" ansiehst, deuten die 
Klartextanteile der Daten, die die Clients nach Verbindungsaufbau 
senden, ziemlich auf eDonkey bzw. eMule hin.

> emule.dyndns.org
> Der Dude[emule.de
> hubi [emule.de]
> http://emule-proj
> eMule v0.23b [Tar

Also scheint es kein Exploit sondern mal wieder ein Folge des 
24h-Disconnect von T-DSL und Du kannst Dich glücklich schätzen die 
IP-Addresse eines eDonkey-Servers geerbt zu haben. :)


> Das komische ist, das tritt nur zu Hause auf meinem Serverchen mit
> dynamischer IP und DSL-Flat über T-Online auf. Auf den anderen 8
> Webservern, die ich administriere, habe ich sämtliche Logs der letzten
> 12 Monate durchgegrept und auch nicht einen einzigen entsprechenden
> Eintrag gefunden.

Nicht komisch, Deine dynamisch zugeteilte IP ist halt noch in 
irgendwelchen Serverlisten für o.e. Filesharingddienste verzeichnet, 
wovon Deine fest angeschlossenen Server verschont bleiben.

[...]

keine Zeit, keine Zeit und ein frohes Fest
.max