Jun
02
2010

Was wird das?

Am Wochenende ist mein Webserver plötzlich abgeschmiert. Wer mich kennt, sagt jetzt: der wahrscheinlichste Grund für dieses Verhalten saß wohl am anderen Ende einer SSH-Verbindung. Aber nein, ich hatte das ganze Wochenende nichts angerührt. Also alles sehr mysteriös. Also habe ich angefangen, die Logs zu durchforsten. Was ich dabei gefunden habe, hat mich nicht gerade glücklich gemacht. Es war offenbar kein Fehler auf Seiten des Servers, sondern:


wiki.b0x.it:80 93.104.166.107 – - [28/May/2010:16:01:02 +0200] “GET /bin/logon/System/UserRegistration HTTP/1.1″ 401 29722 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4″
wiki.b0x.it:80 93.104.166.107 – - [28/May/2010:16:01:03 +0200] “GET /bin/logon/System/UserRegistration HTTP/1.1″ 401 29722 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4″
wiki.b0x.it:80 93.104.166.107 – - [28/May/2010:16:01:04 +0200] “GET /bin/logon/System/UserRegistration HTTP/1.1″ 401 29722 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4″
wiki.b0x.it:80 93.104.166.107 – - [28/May/2010:16:01:05 +0200] “GET /bin/logon/System/UserRegistration HTTP/1.1″ 401 29722 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4″
wiki.b0x.it:80 93.104.166.107 – - [28/May/2010:16:01:06 +0200] “GET /bin/logon/System/UserRegistration HTTP/1.1″ 401 29722 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4″

(in einem Apache-Log)


| 2010-05-01T06:07:34Z info | guest | view | System.UserRegistration | Mozilla | 88.217.53.167 |
| 2010-05-01T06:07:35Z info | guest | view | System.UserRegistration | Mozilla | 88.217.53.167 |
| 2010-05-01T06:07:36Z info | guest | view | System.UserRegistration | Mozilla | 88.217.53.167 |
| 2010-05-01T06:07:37Z info | guest | view | System.UserRegistration | Mozilla | 88.217.53.167 |
| 2010-05-01T06:07:38Z info | guest | view | System.UserRegistration | Mozilla | 88.217.53.167 |
| 2010-05-01T06:07:39Z info | guest | view | System.UserRegistration | Mozilla | 88.217.53.167 |
| 2010-05-01T06:07:40Z info | guest | view | System.UserRegistration | Mozilla | 88.217.53.167 |
| 2010-05-01T06:07:41Z info | guest | view | System.UserRegistration | Mozilla | 88.217.53.167 |
| 2010-05-01T06:07:42Z info | guest | view | System.UserRegistration | Mozilla | 88.217.53.167 |
| 2010-05-01T06:07:43Z info | guest | view | System.UserRegistration | Mozilla | 88.217.53.167 |

(in einem FosWiki-Log)



4603 ? S 0:00 /usr/bin/perl -wT /var/virtual_servers/teetraeder.de/cgi-bin/twiki/search

4604 ? S 0:30 /usr/bin/perl -wT /var/virtual_servers/teetraeder.de/cgi-bin/twiki/search

4751 ? S 0:02 /usr/bin/perl -wT /var/virtual_servers/teetraeder.de/cgi-bin/twiki/search

4753 ? S 0:00 /usr/bin/perl -wT /var/virtual_servers/teetraeder.de/cgi-bin/twiki/search

4755 ? S 0:00 /usr/bin/perl -wT /var/virtual_servers/teetraeder.de/cgi-bin/twiki/search

4756 ? S 0:00 /usr/bin/perl -wT /var/virtual_servers/teetraeder.de/cgi-bin/twiki/search

4761 ? S 0:00 /usr/bin/perl -wT /var/virtual_servers/teetraeder.de/cgi-bin/twiki/search

(in der Prozess-Liste)

Ich weiß ja nicht, wie ihr das seht, aber ich habe so das Gefühl, dass da jemand gerade versucht, in meinen Server einzubrechen. Dummer Nebeneffekt ist, dass das ganze wie ein DoS-Angriff wirkt. Sehr unangenehm. Und ich kann natürlich nicht sicher sein, dass nicht irgendjemand eine Sicherheitslücke gefunden hat, und jetzt fleißig geklaute Kreditkartendaten über meinen Server verschiebt. Oder schlimmeres…

Written by Andi in: Computer,Internet | Schlagwörter: , ,

Keine Kommentare »

RSS feed for comments on this post. TrackBack URL

Leave a Reply

Powered by WordPress. Theme: TheBuckmaker. PHP Scriptverzeichnis