Hallo alle,

Wie jeden Tag bekomme ich morgens als erstes einen aktuellen, skriptgenerierten Auszug aus dem Errorlog per E-Mail auf den Tisch. Heute war ich verwundert, außer den üblichen 404 eine Reihe von fehlgeschlagenen Requests nach "irgendwas" vorzufinden. Und zwar handelt es sich wohl um einen sytematischen Angriff, der ca. 20 Minuten (ab ~9:42 Uhr) dauerte.

Unter http://ahnenforschung.net/logs/error_log-20040210.txt habe ich mal einen leicht geänderten Auszug aus dem gestrigen Error-Logfile des Apachen abgelegt (aaaaa/ ist das Userverzeichnis für die Webadminstrationsoberfläche und /path/to ist das Installationsverzeichnis für den Apachen.

Kann damit irgendwer etwas anfangen? Googlen nach den gesuchten Programmen brachte nicht viel, außer daß Lotus-Notes-Domino-Server wohl ziemlich unsicher sind.

Bis jetzt ist klar, daß jemand von der entsprechenden IP  (gehört Tel-Energo S.A. aus Polen) aus mit einen Programm versuchte, alle möglichen Sicherheistlücken in möglicherweise installierten Programmen sowie dem Apachen und seinen Modulen zu "testen". Sendmail und Popper wurden auch (anscheinend erfolglos) belästigt. Zu guter letzt (eigentlich während des ganzen Angriffs) hat sich der (oder die) Gute mehrfach per FTP  eingeloggt (als anonymous sogar einmal erfolgreich), aber laut xferlog keine Daten heruntergeladen. All dies geschah von perun.daemon.pl [81.15.197.239] aus. Ach ja, den sshd wollte er (oder sie) wohl auch - und zwar anscheinend zuerst - übertölpeln. Zumindest lässt sich das imho aus den Logfiles lesen.

Hat jemand ähnliches schon mal mitgemacht oder davon gehört?
Wenn nicht, schaut mal alle eure Logfiles durch! ;)

Gruß Alex