LogFile -> Hackerversuch?
0 
Marc Reichelt
0 0
0 0 Wer könnte mir jetzt helfen?
LogFile -> Hackerversuch?
Hallo liebe SELFHTMLer,
ich habe heute einmal in die Logs meines Servers geschaut. Dabei fiel mir auf das Einträge dieser Art
62.141.59.152 - - [23/Nov/2006:16:44:56 +0100] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=acee0650466f35395d8b89a17b58c566 HTTP/1.0" 200 7461
62.141.59.152 - - [23/Nov/2006:16:44:58 +0100] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=777772000 HTTP/1.0" 302 -
dort zu hauf auftauchen.
Das ganze beginnt ab:
23.11 11:07
und endet im Minutentakt
24.11 4:07
Das gibt mir zu denken. Ich bin jetzt nicht der Sicherheitsexperte, aber vielleicht kann mir jemand von euch sagen was da los ist.
Bei Intresse an der kompl. Logfile per eMail melden. Ich habe die Vermutung da will einer in die mysl Datenbank rein.
LG
kev1n
--
SELFCODE:
sh:( fo:| ch:? rl:° br:^ ie:{ mo:| va:) de:] zu:) ss:| ls:[ js:|
---
SELFCODE:
sh:( fo:| ch:? rl:° br:^ ie:{ mo:| va:) de:] zu:) ss:| ls:[ js:|
---
-
Hallo kEv*,
Das gibt mir zu denken. Ich bin jetzt nicht der Sicherheitsexperte, aber vielleicht kann mir jemand von euch sagen was da los ist.
Bei Intresse an der kompl. Logfile per eMail melden. Ich habe die Vermutung da will einer in die mysl Datenbank rein.Eigentlich klar: Da greift jemand auf die Adresse $host/phpmyadmin/ zu (die ja sehr häufig verwendet wird) und versucht sich an root-Passwörtern.
Was du tun kannst ist z. B. folgendes:- sicheres root-Passwort für MySQL wählen (falls nicht schon getan)
- Verschieben von phpmyadmin in ein anderes Verzeichnis, z. B. $host/wwziu/ - womit schon mal die ganzen automatisierten Skripte auf die Schnauze fallen mögen
- Sichern des phpmyadmin-Verzeichnisses mit einem Usernamen und einem Passwort über htaccess und htpasswd.
Da gibt es unzählige Varianten.
Grüße
Marc Reichelt || http://www.marcreichelt.de/
--
Linux is like a wigwam - no windows, no gates and an Apache inside!
Selfcode: ie:{ fl:| br:> va:} ls:< fo:} rl:( n4:( ss:) de:> js:| ch:? sh:| mo:) zu:)-
Hallo liebe SELFHTMLer,
- sicheres root-Passwort für MySQL wählen (falls nicht schon getan)
Passwort besitzt mehr als 12 Zeichen. Dazu Sonderzeichen und was sonst noch so alles auf der Tastatur zu finden ist.
- Verschieben von phpmyadmin in ein anderes Verzeichnis, z. B. $host/wwziu/ - womit schon mal die ganzen automatisierten Skripte auf die Schnauze fallen mögen
Ist eine Variante. Werde ich tun.
- Sichern des phpmyadmin-Verzeichnisses mit einem Usernamen und einem Passwort über htaccess und htpasswd.
Überzeugt mich. Wenn ich das richtig verstehe, dann muss ich wenn mal phpmyadmin aufgerufen wird, erst via htaccess User und Passwort angeben und dann nochmal an der Oberfläche von phpmyadmin anmelden.
Korrekt?LG
kev1n--
SELFCODE:
sh:( fo:| ch:? rl:° br:^ ie:{ mo:| va:) de:] zu:) ss:| ls:[ js:|
---
-
Hallo,
- Sichern des phpmyadmin-Verzeichnisses mit einem Usernamen und einem Passwort über htaccess und htpasswd.
Überzeugt mich. Wenn ich das richtig verstehe, dann muss ich wenn mal phpmyadmin aufgerufen wird, erst via htaccess User und Passwort angeben und dann nochmal an der Oberfläche von phpmyadmin anmelden.
Korrekt?pma kann das auch selber übernehmen, dann sparst du dir die doppelte Anmeldung.
Die Variante mit dem "nicht sprechendem Verzeichnisnamen" solltest du dir trotzdem nochmal überlegen. Einige Versionen hatten Fehler, die sich von außen ausnutzen ließen ... ein wenig mehr Vorsicht kann nicht schaden. Auch wenn solche Fehler in pma schnell gefunden und behoben werden.
Grüße
-
Hallo Erik,
- Sichern des phpmyadmin-Verzeichnisses mit einem Usernamen und einem Passwort über htaccess und htpasswd.
Überzeugt mich. Wenn ich das richtig verstehe, dann muss ich wenn mal phpmyadmin aufgerufen wird, erst via htaccess User und Passwort angeben und dann nochmal an der Oberfläche von phpmyadmin anmelden.
Korrekt?pma kann das auch selber übernehmen, dann sparst du dir die doppelte Anmeldung.
Die Variante mit dem "nicht sprechendem Verzeichnisnamen" solltest du dir trotzdem nochmal überlegen. Einige Versionen hatten Fehler, die sich von außen ausnutzen ließen ... ein wenig mehr Vorsicht kann nicht schaden. Auch wenn solche Fehler in pma schnell gefunden und behoben werden.
Die Sache mit den zwei Passworteingaben hat durchaus einen Sinn:
Die erste Passworteingabe via htaccess verhindert den schnellen Zugriff auf phpmyadmin. So bekommt der Anfrager noch nicht mal die Information, ob hier phpmyadmin dahintersteckt. Und: Man kann einen anderen Benutzer als "root" wählen - denn "root" und "admin" werden sicher _sehr_ häufig verwendet.Grüße
Marc Reichelt || http://www.marcreichelt.de/
--
Linux is like a wigwam - no windows, no gates and an Apache inside!
Selfcode: ie:{ fl:| br:> va:} ls:< fo:} rl:( n4:( ss:) de:> js:| ch:? sh:| mo:) zu:)-
Hallo Marc,
Die Sache mit den zwei Passworteingaben hat durchaus einen Sinn:
Schon klar ;-)
Benutze ich ja auch.Die erste Passworteingabe via htaccess verhindert den schnellen Zugriff auf phpmyadmin. So bekommt der Anfrager noch nicht mal die Information, ob hier phpmyadmin dahintersteckt.
Jein. Bei der Anfrage kommt ein 401er als HTTP-Response und damit weiß der Bot bzw die Person dahinter, dass da was ist. Dann könnte er die Art der Anfrage umstellen und weitere User/Passwort-Kombinationen ausprobieren. Ein 404er als Antwort auf eine Bot-Anfrage gefällt mir persönlich besser ;-)
Und: Man kann einen anderen Benutzer als "root" wählen - denn "root" und "admin" werden sicher _sehr_ häufig verwendet.
Zumal manche Administrations-Software darauf baut, dass es solche User gibt. Ok, aber bashen wir mal nicht zu stark ;-)
Grüße
-
Servus und schönen Sonntag,
das hatte ich auch schon öfter. Schau mit whois o.ä. welcher Provider diese IP vergibt und schicke den Auszug der Log Files dorthin. Dann können die villeicht was machen....
Hallo liebe SELFHTMLer,
ich habe heute einmal in die Logs meines Servers geschaut. Dabei fiel mir auf das Einträge dieser Art
62.141.59.152 - - [23/Nov/2006:16:44:56 +0100] "GET /phpmyadmin/index.php?lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=acee0650466f35395d8b89a17b58c566 HTTP/1.0" 200 7461
62.141.59.152 - - [23/Nov/2006:16:44:58 +0100] "GET /phpmyadmin/index.php?lang=en&server=1&pma_username=root&pma_password=777772000 HTTP/1.0" 302 -
dort zu hauf auftauchen.Das ganze beginnt ab:
23.11 11:07
und endet im Minutentakt
24.11 4:07Das gibt mir zu denken. Ich bin jetzt nicht der Sicherheitsexperte, aber vielleicht kann mir jemand von euch sagen was da los ist.
Bei Intresse an der kompl. Logfile per eMail melden. Ich habe die Vermutung da will einer in die mysl Datenbank rein.LG
kev1n-
Hallo liebe SELFHTMLer,
ich habe nun mal mit google nach _whois_ gesucht, und eine Seite gefunden mit der ich die IP auflösen kann.
http://www.iks-jena.de/cgi-bin/whois
Wenn ihr dort die IP (62.141.59.152) eintragt, bekomme ich Informationen. Ist es nun sinnvoll, dort einmal anzurufen und nachzufragen, was die Ip auf _meiner_ phpmyadmin index Seite zu suchen hat?
So ähnlich natürlich.LG
kev1n--
SELFCODE:
sh:( fo:| ch:? rl:° br:^ ie:{ mo:| va:) de:] zu:) ss:| ls:[ js:|
---
-
Hallo liebe SELFHTMLer,
Nicht IHR sondern ich die IP eintrage :)
Sry.LG
kev1n--
SELFCODE:
sh:( fo:| ch:? rl:° br:^ ie:{ mo:| va:) de:] zu:) ss:| ls:[ js:|
---
-
-
-
Hallo liebe SELFHTMLer,
wie ich bereits erwähnt habe, vermute ich einen Angriff auf die phpmyadmin Weboberfläche. Ich habe heute mit meinem Provider und dem der ermittelten Ip Adresse gesprochen.
Mein Provider verlangt ca. 80 Euro für die Auswertung des LogFiles.Dem Provider des vermeintlichen Angreifers habe ich diese bereits zugeschickt.
Nun meine Frage. Ist den einer von Euch bereit mit mir zusammen (logisch) via VoiceServer, oder andere Medien :) , das Logfile für die besagten Einträge einmal durchzugehen, damit ich wirklich sicher bin und nicht zu Unrecht jemanden beschuldige?
Ich weiß es ist sicher viel Arbeit, trotzdem wäre ich für Hilfe mehr als dankbar.
Bei Intresse bitte hier melden, oder per eMail.
Vielen Dank
LG
kev1n--
SELFCODE:
sh:( fo:| ch:? rl:° br:^ ie:{ mo:| va:) de:] zu:) ss:| ls:[ js:|
---
-
Tach,
wie ich bereits erwähnt habe, vermute ich einen Angriff auf die phpmyadmin Weboberfläche. Ich habe heute mit meinem Provider und dem der ermittelten Ip Adresse gesprochen.
Ich weiß es ist sicher viel Arbeit, trotzdem wäre ich für Hilfe mehr als dankbar.ich würde sagen, es ist den Aufwand, den du dir machst, nicht wert. Automatisierte Skripte oder sonstige Angriffe auf Server werden meist auf Botnetzen ausgeführt. Die betroffenen User wissen meist nicht dass ihr Rechner unterwandert wurde und die entsprechenden Provider geben Daten nur auf Beschluß eines Gerichts heraus. Du könntest also höchstens einen Strafantrag stellen und dann zuschauen wie das Verfahren vermutlich eingestellt wird.
mfg
Woodfighter-
Hallo Jens,
ich würde sagen, es ist den Aufwand, den du dir machst, nicht wert. Automatisierte Skripte oder sonstige Angriffe auf Server werden meist auf Botnetzen ausgeführt. Die betroffenen User wissen meist nicht dass ihr Rechner unterwandert wurde und die entsprechenden Provider geben Daten nur auf Beschluß eines Gerichts heraus. Du könntest also höchstens einen Strafantrag stellen und dann zuschauen wie das Verfahren vermutlich eingestellt wird.
Der Provider muss ja nicht die Daten rausgeben, er kann ja selber bei seinem User nachforschen und diesen benachrichtigen, und wenn es nur ist, dass der Benutzer die Angriffe, die ohne sein Wissen von seinem Rechner aus laufen, abstellt.
Abgesehen davon, ich würde mir die Arbeit auch nicht machen ;-) Meistens kommt nämlich am Ende nichts bei raus.
Schöne Grüße,
Johannes
-
Tach,
Der Provider muss ja nicht die Daten rausgeben, er kann ja selber bei seinem User nachforschen und diesen benachrichtigen, und wenn es nur ist, dass der Benutzer die Angriffe, die ohne sein Wissen von seinem Rechner aus laufen, abstellt.
es gibt sicher Provider die sowas tun würden, allerdings sind das wohl eher die ganz kleinen. Man kann da gerne eine Mail hinschickebn, aber sollte nicht zwingend auf eine Antwort oder Konsequenzen hoffen.
mfg
Woodfighter
-
-
-
Hi,
Ich weiß es ist sicher viel Arbeit, trotzdem wäre ich für Hilfe mehr als dankbar.
solche stupide Arbeit sollte man sich von einem Programm abnehmen lassen. Wenn Du einen Windows-Rechner hast, analysiere das Log mal mit meinem Auswertungsprogramm.
freundliche Grüße
Ingo
-