4
Eventueller Malware Angriff auf nginx...
Hab grad die Access Log von Nginx
durchgeforstet... hier taucht ab und an folgendes auf:
185.4.227.194 - - [05/Mar/2014:08:19:21 +0100] "GET http://24x7-allrequestsallowed.com/?PHPSESSID=1rmsxtj500143RUM%5CWHDD%5 ... HTTP/1.1" 200 15629 "-" "-"
92.240.68.152 - - [05/Mar/2014:08:36:14 +0100] "GET http://images4.byinter.net/say908.gif HTTP/1.1" 404 14015 "-" "webcollage/1.135a"
auf... was ja mit 200 beantwortet wird....
muß ich mir da Sorgen machen?
Kurze Mail
wäre sehr nett.
Danke!
durchgeforstet... hier taucht ab und an folgendes auf:
185.4.227.194 - - [05/Mar/2014:08:19:21 +0100] "GET http://24x7-allrequestsallowed.com/?PHPSESSID=1rmsxtj500143RUM%5CWHDD%5 ... HTTP/1.1" 200 15629 "-" "-"
92.240.68.152 - - [05/Mar/2014:08:36:14 +0100] "GET http://images4.byinter.net/say908.gif HTTP/1.1" 404 14015 "-" "webcollage/1.135a"
auf... was ja mit 200 beantwortet wird....
muß ich mir da Sorgen machen?
Kurze Mail
wäre sehr nett.
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 231756
Url: https://administrator.de/contentid/231756
Printed on: April 24, 2024 at 10:04 o'clock
4 Comments
Latest comment
Hi,
Ich kann auch http://24x7-allrequestsallowed.com/?blubb=test aufrufen. Und jetzt?
Warum sollte da kein "HTTP 200 - OK" entstehen?
Vielleicht klopft irgend wer oder was die Seite auf Schwachstellen ab. Meine private FritzBox wird alle paar Tage auf Port 22 / SSH getestet.
Mit sowas sollte man rechnen, wenn man ein System aus dem Internet erreichbar macht.
Grüße,
Daniel
185.4.227.194 - - [05/Mar/2014:08:19:21 +0100] "GET
http://24x7-allrequestsallowed.com/?PHPSESSID=1rmsxtj500143RUM%5CWHDD%5 ... HTTP/1.1" 200 15629 "-"
Das ist ein ganz normaler Aufruf einer gültigen URL.http://24x7-allrequestsallowed.com/?PHPSESSID=1rmsxtj500143RUM%5CWHDD%5 ... HTTP/1.1" 200 15629 "-"
Ich kann auch http://24x7-allrequestsallowed.com/?blubb=test aufrufen. Und jetzt?
auf... was ja mit 200 beantwortet wird....
Da liegt ein Script, welches "Thank you for using our service" ausgibt.Warum sollte da kein "HTTP 200 - OK" entstehen?
muß ich mir da Sorgen machen?
Also URL Injection und SQL Injection sieht man eigentlich schon immer wieder, wenn man einen Webserver im Netz betreibt.Vielleicht klopft irgend wer oder was die Seite auf Schwachstellen ab. Meine private FritzBox wird alle paar Tage auf Port 22 / SSH getestet.
Mit sowas sollte man rechnen, wenn man ein System aus dem Internet erreichbar macht.
Grüße,
Daniel
1
Also URL Injection und SQL Injection sieht man eigentlich schon immer wieder, wenn man einen Webserver im Netz betreibt.
Vielleicht klopft irgend wer oder was die Seite auf Schwachstellen ab. Meine private FritzBox wird alle paar Tage auf Port 22 /
SSH getestet.
Mit sowas sollte man rechnen, wenn man ein System aus dem Internet erreichbar macht.
Vielleicht klopft irgend wer oder was die Seite auf Schwachstellen ab. Meine private FritzBox wird alle paar Tage auf Port 22 /
SSH getestet.
Mit sowas sollte man rechnen, wenn man ein System aus dem Internet erreichbar macht.
Daniel, Danke erstmal.
Also eher harmlos.
Kann ich sowas irgendwie unter Nginx unterbinden ?
Möchte eigentlich nicht das der WebServer irgendwelche fremden Seiten aufruft ausser seine eigenen
??
Servus,
Sicher, aber dazu muss man erst mal verstehen, warum das passiert.
Der Webserver hat ja nicht Langeweile und läuft mal einfach so da hin. Irgendwo entsteht ja dieser Aufruf.
Ich kann mir aktuell 2 Szenarien vorstellen:
1. Include
Du hast irgendwo eine Datei, welche beim Aufruf wiederum zu dieser Adresse läuft.
Das kann z.B. eingebetteter Code, wie man das z.B. von Google Analytics kennt, oder ähnliches sein.
2. Falscher Header
Deine Webanwendung akzeptiert und verarbeitet Anfragen mit einem falschem HTTP "Host"-Header.
Beispiel: Du hast unter example.com eine Datei index.html liegen, welche das Bild /images/logo.jpg einbindet.
Sende ich dir jetzt eine falsche Anfrage, z.B. mit
Für mich verhält sich der Webserver korrekt und macht genau das, was er machen sollte.
In meinen Augen müsste man eher die dort verwendete Webanwendung zerlegen, warum dort sowas passiert.
Wenn das allerdings eine komplexere Anwendung ist, wäre ich dazu wohl zu faul.
Ich würde die Firewall vor dem Webserver anweisen: Webserver-IP, ausgehend -> Drop.
Fertig.
(Hinweis: Das geht natürlich nur, wenn die Firewall was taugt und SPI unterstützt. Andernfalls legt es den Webserver lahm.)
Grüße,
Daniel
Kann ich sowas irgendwie unter Nginx unterbinden ?
Möchte eigentlich nicht das der WebServer irgendwelche fremden Seiten aufruft ausser seine eigenen
Möchte eigentlich nicht das der WebServer irgendwelche fremden Seiten aufruft ausser seine eigenen
Sicher, aber dazu muss man erst mal verstehen, warum das passiert.
Der Webserver hat ja nicht Langeweile und läuft mal einfach so da hin. Irgendwo entsteht ja dieser Aufruf.
Ich kann mir aktuell 2 Szenarien vorstellen:
1. Include
Du hast irgendwo eine Datei, welche beim Aufruf wiederum zu dieser Adresse läuft.
Das kann z.B. eingebetteter Code, wie man das z.B. von Google Analytics kennt, oder ähnliches sein.
2. Falscher Header
Deine Webanwendung akzeptiert und verarbeitet Anfragen mit einem falschem HTTP "Host"-Header.
Beispiel: Du hast unter example.com eine Datei index.html liegen, welche das Bild /images/logo.jpg einbindet.
Sende ich dir jetzt eine falsche Anfrage, z.B. mit
wget --header "Host: www.nsa.gov" www.example.com/index.html
dann versucht dein Webserver für mich das Bild (/images/logo.jpg) von www.nsa.gov abzuholen.Für mich verhält sich der Webserver korrekt und macht genau das, was er machen sollte.
In meinen Augen müsste man eher die dort verwendete Webanwendung zerlegen, warum dort sowas passiert.
Wenn das allerdings eine komplexere Anwendung ist, wäre ich dazu wohl zu faul.
Ich würde die Firewall vor dem Webserver anweisen: Webserver-IP, ausgehend -> Drop.
Fertig.
(Hinweis: Das geht natürlich nur, wenn die Firewall was taugt und SPI unterstützt. Andernfalls legt es den Webserver lahm.)
Grüße,
Daniel
Hi Daniel !
öhm... versuch das grad über GeoIp zu regeln...
IP aus China < Server sagt ok><Seitengröße 13,2Kb>
118.118.40.226 - - [20/Apr/2014:13:56:04 +0200] "GET / HTTP/1.0" 200 13248 "-" "-"
Ist das hier ein Bot ? wenn ja was soll diese Anfrage mit den "-" "-" ??
Kurze Mail wäre fein! Danke!
öhm... versuch das grad über GeoIp zu regeln...
IP aus China < Server sagt ok><Seitengröße 13,2Kb>
118.118.40.226 - - [20/Apr/2014:13:56:04 +0200] "GET / HTTP/1.0" 200 13248 "-" "-"
Ist das hier ein Bot ? wenn ja was soll diese Anfrage mit den "-" "-" ??
Kurze Mail wäre fein! Danke!
