dämliche spam zugriffe auf apache unterbinden

M

MrFenix

Executor
Hi,
bekomme in letzter Zeit immer wieder Spam/Hack zugriffe auf meinen Apache-Webserver alla:
Code:
211-241-162-21.rev.krline.net - - [05/Mar/2005:12:03:14 +0100] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 295 "-" "-"
hikersoft.de - - [07/Mar/2005:18:31:26 +0100] "GET //cgi-bin/awstats/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 312 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hikersoft.de - - [07/Mar/2005:18:31:26 +0100] "GET //cgi-bin/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hikersoft.de - - [07/Mar/2005:18:31:27 +0100] "GET //cgi/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 300 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
hikersoft.de - - [07/Mar/2005:18:31:28 +0100] "GET / HTTP/1.1" 200 833 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

Gegen crawler von suchmaschienen hab ich ja nichts, aber gegen irgendwelche mir unbekannten Domains die an irgendwelche CGI scripts wollen schon...
Ich weiß, dass das alles nichts gebracht hab, was ich als Beispiel angeführt hab, aber es kotzt mich an sowas in meinen Log dateien zu sehen...
Gibts irgendein Mittel dagegen, was weiß ich ne Liste wo solche domains im Inet veröffentlicht werden oder so?
Thx,
Fenix
 
Ich hab leider noch nie mit Apache gearbeitet, aber besitzt der Server nicht so eine Art Filter, in welchen Adressen/Domains eingetragen werden, die nicht auf den Server zugreifen dürfen? Wenn ja könntest du doch mit einem Script (in der Sprache deiner Wahl) die Zeilen aus dem Log, in welchen deine CGI Scripts angefordert werden rausgreppen und die IP direkt an den Apache "Filter" weiterleiten, oder?
 
Hmm dann kommt der mist aber trozdem erstmal durch, das ändert sich ja jeden Tag...
Sowas müsste man ins internet auf ne gemeinsame Liste setzen.
Da hätte ne AntiSpam Allianz von Großen providern ma echt Sinn.
 
Hallo,

leider muss ich sagen das die se Angriffe von einem unserer Server stammen, dieser Server wurde inzwischen vom Netz genommen.

Ohne unseres Wissens wurde, durch ein von einem Kunden installiertem Programm, versucht eine Sicherheitslücke im awstats Script auszunutzen.

Eine einfache Email an den zuständigen Domaininhaber hätte gereicht, um dieser ganzen Sache ein schnelles Ende zu bereiten.

Grüße
Snakeater
 
mod_antihak
Das war zwar nur fuer nimda und code red, ist aber nicht so kompliziert zu erweitern, noch mehr Kram gar nicht erst in die Logfiles kommen zu lassen. Gerade die awstats-Hacks sind immer noch populaer und verstopfen gerne Logs... :/

-khs
 

Ähnliche Themen

Mein Server versendet SPAM in Massen

Größere Dateien auf Webserver laden mittels Jumpload und AjaXplorer schlägt fehl - SE

HP PSC 2175 - CUPS druckt nicht

Displayport + externer Monitor zeigt bei startx nichts erst bei DVI

Problem mit Apache2 + MySQL Server

Zurück
Oben