PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : dämliche spam zugriffe auf apache unterbinden



MrFenix
07.03.2005, 17:44
Hi,
bekomme in letzter Zeit immer wieder Spam/Hack zugriffe auf meinen Apache-Webserver alla:

211-241-162-21.rev.krline.net - - [05/Mar/2005:12:03:14 +0100] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%u cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b %u53ff%u0078%u0000%u00=a HTTP/1.0" 404 295 "-" "-"
hikersoft.de - - [07/Mar/2005:18:31:26 +0100] "GET //cgi-bin/awstats/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 312 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hikersoft.de - - [07/Mar/2005:18:31:26 +0100] "GET //cgi-bin/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hikersoft.de - - [07/Mar/2005:18:31:27 +0100] "GET //cgi/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 300 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hikersoft.de - - [07/Mar/2005:18:31:28 +0100] "GET / HTTP/1.1" 200 833 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"


Gegen crawler von suchmaschienen hab ich ja nichts, aber gegen irgendwelche mir unbekannten Domains die an irgendwelche CGI scripts wollen schon...
Ich weiß, dass das alles nichts gebracht hab, was ich als Beispiel angeführt hab, aber es kotzt mich an sowas in meinen Log dateien zu sehen...
Gibts irgendein Mittel dagegen, was weiß ich ne Liste wo solche domains im Inet veröffentlicht werden oder so?
Thx,
Fenix

Zico
07.03.2005, 17:54
Ich hab leider noch nie mit Apache gearbeitet, aber besitzt der Server nicht so eine Art Filter, in welchen Adressen/Domains eingetragen werden, die nicht auf den Server zugreifen dürfen? Wenn ja könntest du doch mit einem Script (in der Sprache deiner Wahl) die Zeilen aus dem Log, in welchen deine CGI Scripts angefordert werden rausgreppen und die IP direkt an den Apache "Filter" weiterleiten, oder?

MrFenix
07.03.2005, 18:15
Hmm dann kommt der mist aber trozdem erstmal durch, das ändert sich ja jeden Tag...
Sowas müsste man ins internet auf ne gemeinsame Liste setzen.
Da hätte ne AntiSpam Allianz von Großen providern ma echt Sinn.

Snakeater
23.03.2005, 08:08
Hallo,

leider muss ich sagen das die se Angriffe von einem unserer Server stammen, dieser Server wurde inzwischen vom Netz genommen.

Ohne unseres Wissens wurde, durch ein von einem Kunden installiertem Programm, versucht eine Sicherheitslücke im awstats Script auszunutzen.

Eine einfache Email an den zuständigen Domaininhaber hätte gereicht, um dieser ganzen Sache ein schnelles Ende zu bereiten.

Grüße
Snakeater

khs
26.03.2005, 14:32
mod_antihak (http://apantihak.sourceforge.net/)
Das war zwar nur fuer nimda und code red, ist aber nicht so kompliziert zu erweitern, noch mehr Kram gar nicht erst in die Logfiles kommen zu lassen. Gerade die awstats-Hacks sind immer noch populaer und verstopfen gerne Logs... :/

-khs