Merkwürdiges Zeug im Apache-Log

Merkwürdiges Zeug im Apache-Log

Ich baue gerade eine Art Webanwendung und derzeit läuft das Ganze auf meinem Rechner. Ich habe meine Protokolle durchgesehen und mehrere „seltsame“ Protokolleinträge gefunden, die mich etwas paranoid gemacht haben. Hier sind sie:

***.***.***.** - - [19/Dec/2010:19:47:47 +0100] "\x99\x91g\xca\xa8" 501 1054
**.***.***.** - - [19/Dec/2010:20:14:58 +0100] "<}\xdbe\x86E\x18\xe7\x8b" 501 1054
**.**.***.*** - - [21/Dec/2010:15:28:14 +0100] "J\xaa\x9f\xa3\xdd\x9c\x81\\\xbd\xb3\xbe\xf7\xa6A\x92g'\x039\x97\xac,vC\x8d\x12\xec\x80\x06\x10\x8e\xab7e\xa9\x98\x10\xa7" 501 1054

Verdammt noch mal … was ist das?!

Antwort1

Sofern Sie keine merkwürdigen neuen Dateien, geänderten Systemdateien oder andere merkwürdige Verhaltensweisen Ihres Servers bemerkt haben, würde ich mir über diese merkwürdigen Protokolleinträge keine großen Sorgen machen. Jeder kann fehlerhafte HTTP-Anfragen an Ihren Server senden, wenn dieser für das Internet geöffnet ist, und genau das tun viele Leute (oder Bots).

Warum sollten sie das tun? Nun, einige Webserver haben bekannte Schwachstellen, die ausgenutzt werden können, indem man ihnen genau die „richtige“ Art von Anfrage sendet. Was Sie also möglicherweise sehen, sind Sonden für bekannte (oder sogar unbekannte) Schwachstellen. Wenn Sie sich dadurch sicherer fühlen, können SierückwirkendMaßnahmen wie das Blockieren/Sperren von IPs, die fehlerhafte oder unbekannte Anfragen senden (mithilfe von iptables, fail2ban usw.).

Persönlich bin ich der Meinung, dass es sich nicht wirklich lohnt, „schlechte“ IPs auf die schwarze Liste zu setzen, denn bis Sie ihre Spuren in Ihren Logdateien sehen, haben sie entweder gelernt, dass Sie nicht anfällig sind, oder Sie sind bereits gehackt. Ich glaube, dieDer bessere Ansatz ist, proaktiv zu seinmit Sicherheit:

  • Sorgen Sie dafür, dass die Software Ihres Servers stets mit allen Patches ausgestattet und auf dem neuesten Stand ist. Immer. Sorgfältig. Pünktlich.

  • Halten Sie Ihr Angriffsprofil so klein wie möglich: Installieren/führen Sie keine unnötige Software auf dem Server aus. Und, wieWilhelm von Ockhamsagte einmal: „Vervielfachen Sie die Benutzerkonten nicht unnötig.“

  • Schützen Sie Ihren Server durch eine Firewall. (Oder nicht, aber wissen Sie, was Sie tun.)

  • Führen Sie ein System zur Erkennung von Angriffen durch, wieBERATER,OSSEC, oderSamhain. Dadurch werden Sie gewarnt, wenn sich Systemdateien unerwartet ändern. Dies ist häufig ein Hinweis darauf, dass Ihr Server kompromittiert wurde.

  • Führen Sie eine Systemüberwachungs-/Grafiksoftware aus, wiemunin,Kakteen,gesammeltoder ähnliches. Beobachten Sie die Diagramme regelmäßig, um ein Gefühl dafür zu bekommen, wie normale Systemlasten aussehen und wie Ihre regelmäßigen Trends aussehen. Wenn Ihre Diagramme dann etwas zeigen, was Sie noch nie zuvor gesehen haben, haben Sie den Anstoß, dies weiter zu untersuchen.

  • Führen Sie einen Web-Log-Analysator/-Graph aus, wie zum BeispielwebalizeroderAbonnierenMachen Sie sich auch hier wieder mit dem normalen Betriebsablauf vertraut, damit Sie schnell erkennen können, wenn etwas nicht normal ist.

  • Führen Sie einen separaten Protokollserver aus – vorzugsweise auf einem minimalen, sicherheitsgehärteten System, auf dem nichts anderes läuft – und konfigurieren Sie Ihre Server so, dass sie ihre Protokolle an diesen Server senden. Dies macht es für einen Eindringling viel schwieriger, seine Spuren zu verwischen.

Antwort2

Welche Art von Server verwenden Sie? Apache?

Das sieht nach einem IIS-Exploit aus … Code Red/NIMDA

Antwort3

Jeder öffentlich zugängliche Webserver erhält den ganzen Tag solche Anfragen. Sie versuchen einfach blind, bekannte Exploits gegen Ihren Server auszunutzen. Was ich oft mache, ist, den Webserver so zu konfigurieren, dass er eine leere Seite anzeigt, wenn er Anfragen an seine IP empfängt (d. h.http://10.0.0.1). Ich lasse die Anzeige der Sites nur zu, wenn die richtige virtuelle Hostdomäne angefordert wird.

Sehen Sie, welche Site angezeigt wird, wenn Sie den Webserver über die IP-Adresse statt über den Domänennamen aufrufen. Die meisten Exploit-Skripte, die die Netter-Tubes durchsuchen, führen keine gültigen virtuellen Hostanforderungen aus (korrekte virtuelle Hostheader).

Sie können sich auch die verschiedenen Dienstprogramme ansehen, die IP-Adressen, die böswillige Anfragen stellen, automatisch blockieren.

Antwort4

Angenommen, es handelte sich bei diesen IP-Adressen um Ihre eigenen und nicht um externe Adressen, dann kann es sich einfach um Datenmüll Ihrer Web-Anwendung handeln.

Das erinnert mich an eine Situation, in der ich gesehen habe, wie PHP-Protokolldaten in UTF8 gespeichert und anschließend in ASCII kodiert bzw. maskiert wurden, was zu sehr ähnlich aussehenden Meldungen führte.

verwandte Informationen