You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Marius-Dieter Noetzel <ma...@sett-konzerte.de> on 2002/11/19 19:39:06 UTC
apache-Log --- "komische Eintraege"
Hallo zusammen...
ich habe seit gestern sehr komische lOgeintraege in der Access_log
marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] "\xe3<" 501 -
"-" "-"
marno.dtip.de 80.134.50.234 - - [19/Nov/2002:19:30:06 +0100] "\xe3P" 501 -
"-" "-"
marno.dtip.de 80.128.196.16 - - [19/Nov/2002:19:30:13 +0100] "\xe3C" 501 -
"-" "-"
marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:30:18 +0100] "\xe3=" 501 -
"-" "-"
marno.dtip.de 217.82.70.221 - - [19/Nov/2002:19:30:30 +0100] "\xe3>" 501 -
"-" "-"
marno.dtip.de 80.134.50.234 - - [19/Nov/2002:19:30:51 +0100] "\xe3P" 501 -
"-" "-"
marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:32:10 +0100] "\xe3=" 501 -
"-" "-"
marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:32:19 +0100] "\xe3=" 501 -
"-" "-"
marno.dtip.de 217.234.188.234 - - [19/Nov/2002:19:32:36 +0100] "\xe3;" 501 -
"-" "-"
marno.dtip.de 217.234.188.234 - - [19/Nov/2002:19:32:37 +0100] "\xe3;" 501 -
"-" "-"
Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind.
Leider finde ich beim google'n auch nichts brauchbares.
Andere Admins ´haben von diesen Eintraegen noch nichts bemerkt.
Komisch ist das allerdings schon, da auf dem Server hier eigentlich
garnichts laeuft.
Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der
Server auch nicht sehr lange.
nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings
praktisch nur dyn. t-online ips zu sein die hier anfragen.
Nur verstehe ich absolut nicht was das ist.
Wer kann mir was dazu sagen? Bin ja schon fast etwas beunruhigt :)
Gruss
Marius
---
Key Account Care
Gunter Fels MDN Internet & Network Service Ltd.
Tel.: 01803-3339595 http://www.m-d-n.biz
---
Re: apache-Log --- "komische Eintraege"
Posted by Max Dittrich <Ma...@t-online.de>.
Hallo Dirk,
ganz schnell nochmal vor Weihnachten:
On 12/22/2002 12:26 AM, Dirk Dettmering wrote:
> Mojn,
>
> Max Dittrich wrote:
>
>>On 11/19/2002 7:39 PM, Marius-Dieter Noetzel wrote:
>>
>>>ich habe seit gestern sehr komische lOgeintraege in der Access_log
>>>
>>>marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] "\xe3<" 501 -
>>>"-" "-"
>
>
> [snip]
>
>
>>>Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind.
>>>Leider finde ich beim google'n auch nichts brauchbares.
>>>Andere Admins ´haben von diesen Eintraegen noch nichts bemerkt.
>>>Komisch ist das allerdings schon, da auf dem Server hier eigentlich
>>>garnichts laeuft.
>>>Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der
>>>Server auch nicht sehr lange.
>>>nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings
>>>praktisch nur dyn. t-online ips zu sein die hier anfragen.
>>
>>Schön wenn Du investigative Instrumente einsetzt - Du scheinst ein
>>Forschergeist zu sein. Vielleicht möchtest Du Dich mit deinem
>>Lieblingssniffer auf die Lauer legen (tcpdump -s 0 -w
>>/tmp/strange_req.dump -c 10000 port 80 ) und entdeckst einen neuen Wurm
>>oder ähnliches Ungeziefer. Die Ausgabe des Dumps wäre interessant,
>>allerdings scheint das in keinerlei Hinsicht ein HTTP-Request zu sein.
>>
>>BTW läuft der Apache auf dem gemeinen Port 80, unter einer festen IP?
>
>
> OK, beim letzten mal war es dafür zu spät, aber ich habe dieses
> Phänomen jetzt noch 2 weitere male erlebt, das letzte mal ist gerade
> noch voll im Gange. Die Daten dazu findet ihr unter:
> http://pc16154.pharmazie.uni-marburg.de/apache/
Schön, mit dem Dump kann man was anfangen. Wenn Du Dir den Dump mit
ethereal oder ganz einfach mit "strings" ansiehst, deuten die
Klartextanteile der Daten, die die Clients nach Verbindungsaufbau
senden, ziemlich auf eDonkey bzw. eMule hin.
> emule.dyndns.org
> Der Dude[emule.de
> hubi [emule.de]
> http://emule-proj
> eMule v0.23b [Tar
Also scheint es kein Exploit sondern mal wieder ein Folge des
24h-Disconnect von T-DSL und Du kannst Dich glücklich schätzen die
IP-Addresse eines eDonkey-Servers geerbt zu haben. :)
> Das komische ist, das tritt nur zu Hause auf meinem Serverchen mit
> dynamischer IP und DSL-Flat über T-Online auf. Auf den anderen 8
> Webservern, die ich administriere, habe ich sämtliche Logs der letzten
> 12 Monate durchgegrept und auch nicht einen einzigen entsprechenden
> Eintrag gefunden.
Nicht komisch, Deine dynamisch zugeteilte IP ist halt noch in
irgendwelchen Serverlisten für o.e. Filesharingddienste verzeichnet,
wovon Deine fest angeschlossenen Server verschont bleiben.
[...]
keine Zeit, keine Zeit und ein frohes Fest
.max
Re: apache-Log --- "komische Eintraege"
Posted by Dirk Dettmering <ap...@dettmering.org>.
Mojn,
Max Dittrich wrote:
> On 11/19/2002 7:39 PM, Marius-Dieter Noetzel wrote:
> > ich habe seit gestern sehr komische lOgeintraege in der Access_log
> >
> > marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] "\xe3<" 501 -
> > "-" "-"
[snip]
> > Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind.
> > Leider finde ich beim google'n auch nichts brauchbares.
> > Andere Admins ´haben von diesen Eintraegen noch nichts bemerkt.
> > Komisch ist das allerdings schon, da auf dem Server hier eigentlich
> > garnichts laeuft.
> > Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der
> > Server auch nicht sehr lange.
> > nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings
> > praktisch nur dyn. t-online ips zu sein die hier anfragen.
>
> Schön wenn Du investigative Instrumente einsetzt - Du scheinst ein
> Forschergeist zu sein. Vielleicht möchtest Du Dich mit deinem
> Lieblingssniffer auf die Lauer legen (tcpdump -s 0 -w
> /tmp/strange_req.dump -c 10000 port 80 ) und entdeckst einen neuen Wurm
> oder ähnliches Ungeziefer. Die Ausgabe des Dumps wäre interessant,
> allerdings scheint das in keinerlei Hinsicht ein HTTP-Request zu sein.
>
> BTW läuft der Apache auf dem gemeinen Port 80, unter einer festen IP?
OK, beim letzten mal war es dafür zu spät, aber ich habe dieses
Phänomen jetzt noch 2 weitere male erlebt, das letzte mal ist gerade
noch voll im Gange. Die Daten dazu findet ihr unter:
http://pc16154.pharmazie.uni-marburg.de/apache/
Das komische ist, das tritt nur zu Hause auf meinem Serverchen mit
dynamischer IP und DSL-Flat über T-Online auf. Auf den anderen 8
Webservern, die ich administriere, habe ich sämtliche Logs der letzten
12 Monate durchgegrept und auch nicht einen einzigen entsprechenden
Eintrag gefunden.
In #freebsd.de habe ich jemanden getroffen, der beim 2. mal zur selben
Zeit das gleiche Phänomen hatte, ebenfalls mit DSL über T-Online. Der
vermutete damals, daß es vielleicht mit dem dyndns-Update
zusammenhängen könnte, aber ich konnte bei mir keinerlei Hinweis auf
einen derartigen Zusammenhang entdecken (ich benute auch den dyndns).
Ich habe mal gegoogelt, aber habe nix gefunden, was darauf so direkt
paßt. Alle Exploits, die ich gefunden habe, enthielten den String \xe3
nur als kleinen Teil (z.B.:
http://www.securiteam.com/exploits/5VP0L0U7FM.html oder
http://packetstormsecurity.nl/0209-exploits/apache-linux.txt). Aber
vielleicht können die Experten ja aus dem tcpdump erkennen, daß auch
hier der String nur ein Teil ist, mir sagt das leider nix.
Ich frage mich nur, wenn es sich um einen der normalen Apache-Exploits
handelt, wieso sollte das dann ausgerechnet auf Homeuser mit
dynamischen IPs ausgerichtet sein, wo doch Server mit fester IP und
Anbindung viel interessanter wären? Der einzige vernünftige Grund, der
mir plausibel erscheint, wäre, daß Rechner zu Hause vielleicht
allgemein schlechter administriert werden.
Gruß
Dirk
Re: apache-Log --- "komische Eintraege"
Posted by "Oliver Etzel - GoodnGo.COM (R)" <ol...@goodngo.com>.
Hallo Max, hallo Marius,
ich verfolge das Problem von Marius mit regem Interesse.
An Max: Was soll genau das folgende tcpdump bewirken:
> tcpdump -s 0 -w /tmp/strange_req.dump -c 10000 port 80
Hope for help,
Oliver Etzel
lowcost domains
lowcost serverhousing www.t-host.de
Re: apache-Log --- "komische Eintraege"
Posted by Max Dittrich <Ma...@t-online.de>.
On 11/19/2002 7:39 PM, Marius-Dieter Noetzel wrote:
> Hallo zusammen...
>
> ich habe seit gestern sehr komische lOgeintraege in der Access_log
>
> marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] "\xe3<" 501 -
> "-" "-"
> marno.dtip.de 80.134.50.234 - - [19/Nov/2002:19:30:06 +0100] "\xe3P" 501 -
> "-" "-"
> marno.dtip.de 80.128.196.16 - - [19/Nov/2002:19:30:13 +0100] "\xe3C" 501 -
> "-" "-"
> marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:30:18 +0100] "\xe3=" 501 -
> "-" "-"
> marno.dtip.de 217.82.70.221 - - [19/Nov/2002:19:30:30 +0100] "\xe3>" 501 -
> "-" "-"
> marno.dtip.de 80.134.50.234 - - [19/Nov/2002:19:30:51 +0100] "\xe3P" 501 -
> "-" "-"
> marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:32:10 +0100] "\xe3=" 501 -
> "-" "-"
> marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:32:19 +0100] "\xe3=" 501 -
> "-" "-"
> marno.dtip.de 217.234.188.234 - - [19/Nov/2002:19:32:36 +0100] "\xe3;" 501 -
> "-" "-"
> marno.dtip.de 217.234.188.234 - - [19/Nov/2002:19:32:37 +0100] "\xe3;" 501 -
> "-" "-"
>
> Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind.
> Leider finde ich beim google'n auch nichts brauchbares.
> Andere Admins ´haben von diesen Eintraegen noch nichts bemerkt.
> Komisch ist das allerdings schon, da auf dem Server hier eigentlich
> garnichts laeuft.
> Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der
> Server auch nicht sehr lange.
> nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings
> praktisch nur dyn. t-online ips zu sein die hier anfragen.
Schön wenn Du investigative Instrumente einsetzt - Du scheinst ein
Forschergeist zu sein. Vielleicht möchtest Du Dich mit deinem
Lieblingssniffer auf die Lauer legen (tcpdump -s 0 -w
/tmp/strange_req.dump -c 10000 port 80 ) und entdeckst einen neuen Wurm
oder ähnliches Ungeziefer. Die Ausgabe des Dumps wäre interessant,
allerdings scheint das in keinerlei Hinsicht ein HTTP-Request zu sein.
BTW läuft der Apache auf dem gemeinen Port 80, unter einer festen IP?
> Nur verstehe ich absolut nicht was das ist.
X-Files?!
gruss,
.max
Re: apache-Log --- "komische Eintraege"
Posted by Marius-Dieter Noetzel <ma...@sett-konzerte.de>.
Hallo,
> Du hast doch selbst schon festgestellt, dass es von T-Online Dialin
> Rechnern kommt...
Naja, das ist erstmal richtig, nur die Frage bleibt bestehen, wieso das so
ist, und vorallem mal ganzbloed gesagt wieso auf diesem praktisch ungenutzen
System.
Ich gebe mich nur sehr ungern mit einem "Ist halt so weils so ist"
zufrieden.
Man muss ja wohl zugeben, es ist schon komisch...
Gruss
Marius
Re: apache-Log --- "komische Eintraege"
Posted by Bjoern Hoehrmann <de...@gmx.net>.
* Marius-Dieter Noetzel wrote:
>Auf dem Apache ist ja eigentlich nichts drauf, daher kann es von Ihm
>eigentlich nicht ausgehen.
Du hast doch selbst schon festgestellt, dass es von T-Online Dialin
Rechnern kommt...
>>Im Zweifelsfall gibt es da nen Thread in dcoulm
>> (http://groups.google.com/groups?th=979dbfcaca109fe7) aber das weisst du
>> ja schon, wo solche Fragen an sich nichts verloren haben, übrigens.
>>
>
>Welche Fragen haben wo nichts verloren?
Fragen zu Webserver-Problemen in einer nicht-Webserver-Gruppe.
Re: apache-Log --- "komische Eintraege"
Posted by Marius-Dieter Noetzel <ma...@sett-konzerte.de>.
> Viel Sinn ergibt das nicht, der Apache müsste im Prinzip alle Anfragen,
> die mit einem \ anfangen als unzulässig zurückweisen, von daher würde
> ich mir keine Sorgen machen, ist ggf. nur ein kaputtes Script von
> irgendwem.
Aehm einige hundert Anfragen an einem Tag, von verschiedensten IP's sehen
irgendwie nicht nach nem kaputten script aus oder wie meinst du?
Auf dem Apache ist ja eigentlich nichts drauf, daher kann es von Ihm
eigentlich nicht ausgehen. Insbesondere "normale" Anfragen gibt es auf dem
Apache vielleicht 3-4 am Tag. Ne Webseite ist praktisch garnicht vorhanden.
>Im Zweifelsfall gibt es da nen Thread in dcoulm
> (http://groups.google.com/groups?th=979dbfcaca109fe7) aber das weisst du
> ja schon, wo solche Fragen an sich nichts verloren haben, übrigens.
>
Welche Fragen haben wo nichts verloren?
Grusss
Marius
Re: apache-Log --- "komische Eintraege"
Posted by Bjoern Hoehrmann <de...@gmx.net>.
* Marius-Dieter Noetzel wrote:
>ich habe seit gestern sehr komische lOgeintraege in der Access_log
>
>marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] "\xe3<" 501 -
>"-" "-"
Viel Sinn ergibt das nicht, der Apache müsste im Prinzip alle Anfragen,
die mit einem \ anfangen als unzulässig zurückweisen, von daher würde
ich mir keine Sorgen machen, ist ggf. nur ein kaputtes Script von
irgendwem. Im Zweifelsfall gibt es da nen Thread in dcoulm
(http://groups.google.com/groups?th=979dbfcaca109fe7) aber das weisst du
ja schon, wo solche Fragen an sich nichts verloren haben, übrigens.