fragen zum log-file

NasenBär · 31.10.2003, 22:54

hy!

hab einen apache-server laufen und habe dazu folgende fragen:

1) hab unter anderem diese einträge gefunden:
[Mon Oct 27 08:30:24 2003] [error] [client 213.133.115.135] File does not exist: /var/www/html/this.options[this.selectedIndex].value
[Mon Oct 27 08:31:49 2003] [error] [client 213.133.115.135] File does not exist: /var/www/html/this.options[this.selectedIndex].value
[Mon Oct 27 08:31:55 2003] [error] [client 213.133.115.135] File does not exist: /var/www/html/this.options[this.selectedIndex].value
[Mon Oct 27 08:57:08 2003] [error] [client 195.138.73.3] File does not exist: /var/www/html/scripts/nsiislog.dll
[Mon Oct 27 22:40:55 2003] [error] [client 217.162.159.131] File does not exist: /var/www/html/scripts/nsiislog.dll
[Tue Oct 28 01:52:44 2003] [error] [client 208.57.77.204] Invalid method in request get /scripts/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af.. %c0%af..%c0%af/winnt/system32/cmd.exe?/c%20dir
[Tue Oct 28 02:42:23 2003] [error] [client 217.128.192.80] File does not exist: /var/www/html/scripts/..%5c%5c../winnt/system32/cmd.exe
[Tue Oct 28 05:38:20 2003] [error] [client 61.53.147.235] Invalid method in request get /scripts/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af.. %c0%af..%c0%af/winnt/system32/cmd.exe?/c%20dir

was haben die verschiedenen logeinträge zu bedeuten?
zu den letzten 3 einträgen:
wollte der einen bug vom apache-server ausnützen um einen code auf dem rechner auszuführen? aber er hat ja nur die verzeichnisstruktur von windows verwendet!?

2)wie kann ein system gehackt werden, bei dem nur der port 80 zum system geleitet wird, aber auch andere dienste darauf laufen!?
anders gefragt: genügt es den webserver regelmäßig upzudaten (inkl. perl und php)?

mfg

Sloter · 01.11.2003, 08:16

Das ist ein IIS Wurm der sich selbst sein nächstes Opfer sucht, no Probs for Apache

Update aktuell halten, kann nie schaden, aber nicht nur den Webserver, auch FTP und SSH aktuell halten und den MTA natürlich auch.

Sloter

NasenBär · 05.11.2003, 21:06

hy!
na da bin ich ja beruhigt!

wollte noch fragen in welchen log-files was genau drinnen steht, bzw. welche man regelmäßig kontrollieren sollte!

mfg

Lotussteve · 06.11.2003, 20:26

Zitat:

Original geschrieben von NasenBär
wollte noch fragen in welchen log-files was genau drinnen steht, bzw. welche man regelmäßig kontrollieren sollte!

Hallo!

Installiere dir "logcheck", das schickt dir in einem von dir eingestellten Intervall alle relevanten Einträge aus allen Logfiles als Mail.

HTH,

Ciao,

Steve

_m3 · 06.11.2003, 21:16

Zitat:

Original geschrieben von Sloter
Update aktuell halten, kann nie schaden, aber nicht nur den Webserver, auch FTP und SSH aktuell halten und den MTA natürlich auch.

Oder allgemeiner formuliert: Alles was einen Port (nach außen) offen hat, sollte auf dem letzten Stand sein.

Ad Logs:
http://www.ldp.at/linuxfocus/English...ticle213.shtml
http://www.ldp.at/REF/INTRO/Intrusio...tml#MONITORING
http://www.ecst.csuchico.edu/~dranch...ityOS-c-9.html

Und damit Du genug Zeit hast, das alles zu lesen:
http://www.ldp.at/HOWTO/Coffee.html

HTH

31.10.2003, 22:54	#1
NasenBär Master Registriert seit: 01.08.2001 Beiträge: 527	fragen zum log-file hy! hab einen apache-server laufen und habe dazu folgende fragen: 1) hab unter anderem diese einträge gefunden: [Mon Oct 27 08:30:24 2003] [error] [client 213.133.115.135] File does not exist: /var/www/html/this.options[this.selectedIndex].value [Mon Oct 27 08:31:49 2003] [error] [client 213.133.115.135] File does not exist: /var/www/html/this.options[this.selectedIndex].value [Mon Oct 27 08:31:55 2003] [error] [client 213.133.115.135] File does not exist: /var/www/html/this.options[this.selectedIndex].value [Mon Oct 27 08:57:08 2003] [error] [client 195.138.73.3] File does not exist: /var/www/html/scripts/nsiislog.dll [Mon Oct 27 22:40:55 2003] [error] [client 217.162.159.131] File does not exist: /var/www/html/scripts/nsiislog.dll [Tue Oct 28 01:52:44 2003] [error] [client 208.57.77.204] Invalid method in request get /scripts/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af.. %c0%af..%c0%af/winnt/system32/cmd.exe?/c%20dir [Tue Oct 28 02:42:23 2003] [error] [client 217.128.192.80] File does not exist: /var/www/html/scripts/..%5c%5c../winnt/system32/cmd.exe [Tue Oct 28 05:38:20 2003] [error] [client 61.53.147.235] Invalid method in request get /scripts/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af.. %c0%af..%c0%af/winnt/system32/cmd.exe?/c%20dir was haben die verschiedenen logeinträge zu bedeuten? zu den letzten 3 einträgen: wollte der einen bug vom apache-server ausnützen um einen code auf dem rechner auszuführen? aber er hat ja nur die verzeichnisstruktur von windows verwendet!? 2)wie kann ein system gehackt werden, bei dem nur der port 80 zum system geleitet wird, aber auch andere dienste darauf laufen!? anders gefragt: genügt es den webserver regelmäßig upzudaten (inkl. perl und php)? mfg

01.11.2003, 08:16	#2
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Das ist ein IIS Wurm der sich selbst sein nächstes Opfer sucht, no Probs for Apache Update aktuell halten, kann nie schaden, aber nicht nur den Webserver, auch FTP und SSH aktuell halten und den MTA natürlich auch. Sloter

05.11.2003, 21:06	#3
NasenBär Master Registriert seit: 01.08.2001 Beiträge: 527	hy! na da bin ich ja beruhigt! wollte noch fragen in welchen log-files was genau drinnen steht, bzw. welche man regelmäßig kontrollieren sollte! mfg

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)