8
Angriff auf meinen internen Webserver?
Hallo,
ich habe ein Problem mit meinen Netz.
Auf einem internen Server läuft mein Intranet mit xampp. Es gibt keine Weiterleitung für Zugriffe von Aussen.
Nun habe ich bei dem Sichten der Protokoll folgenden Eintrag gesehen.
1.171.73.21 - - [19/Mar/2015:23:55:56 +0100] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 302 - "-" "-"
192.168.x.xxx - - [20/Mar/2015:00:20:53 +0100] "GET /web/wpad.dat HTTP/1.1" 200 10 "-" "-"
61.240.144.64 - - [20/Mar/2015:00:21:20 +0100] "GET / HTTP/1.0" 302 - "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan);
104.152.106.98 - - [20/Mar/2015:03:43:50 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 420 "-" "-"
104.152.106.98 - - [20/Mar/2015:03:43:51 +0100] "GET / HTTP/1.1" 400 420 "-" "-"
Sieht nach einem Einbruch aus!
Wie seht ihr das?
Ich habe eine Firewall auf dem Router laufen die noch eine FTP-Weiterleitung auf diesen Server hat.
Bekomme langsam Panik. Habe den Apache abgeschaltet. Was kann ich tun?
Gruß Thomas
ich habe ein Problem mit meinen Netz.
Auf einem internen Server läuft mein Intranet mit xampp. Es gibt keine Weiterleitung für Zugriffe von Aussen.
Nun habe ich bei dem Sichten der Protokoll folgenden Eintrag gesehen.
1.171.73.21 - - [19/Mar/2015:23:55:56 +0100] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 302 - "-" "-"
192.168.x.xxx - - [20/Mar/2015:00:20:53 +0100] "GET /web/wpad.dat HTTP/1.1" 200 10 "-" "-"
61.240.144.64 - - [20/Mar/2015:00:21:20 +0100] "GET / HTTP/1.0" 302 - "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan);
104.152.106.98 - - [20/Mar/2015:03:43:50 +0100] "GET /tmUnblock.cgi HTTP/1.1" 400 420 "-" "-"
104.152.106.98 - - [20/Mar/2015:03:43:51 +0100] "GET / HTTP/1.1" 400 420 "-" "-"
Sieht nach einem Einbruch aus!
Wie seht ihr das?
Ich habe eine Firewall auf dem Router laufen die noch eine FTP-Weiterleitung auf diesen Server hat.
Bekomme langsam Panik. Habe den Apache abgeschaltet. Was kann ich tun?
Gruß Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 266963
Url: https://administrator.de/contentid/266963
Printed on: April 26, 2024 at 18:04 o'clock
8 Comments
Latest comment
Hallo,
Welche Protokolle und vor allem auf welchen Maschinen und was sollen die Protokollieren? Hier nur diffuse Schnipsel ohne dein Netz oder Aufbau zu kennen und nachdem du selbst jetzt auch noch einen FTP Server im Raum schmeisst.....
Gruß,
Peter
Welche Protokolle und vor allem auf welchen Maschinen und was sollen die Protokollieren? Hier nur diffuse Schnipsel ohne dein Netz oder Aufbau zu kennen und nachdem du selbst jetzt auch noch einen FTP Server im Raum schmeisst.....
1.171.73.21 - - [19/Mar/2015:23:55:56 +0100] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 302 - "-" "-"
Hat wohl was mit SMTP zu tun? Ist das bei euch genutzt? Die IP gehört euch?192.168.x.xxx - - [20/Mar/2015:00:20:53 +0100] "GET /web/wpad.dat HTTP/1.1" 200 10 "-" "-"
Eine Private IP? Hast du wpad eingerichtet?Wie seht ihr das?
Viel zu wenige Infos, aber war ja eine Finsternis heute...Habe den Apache abgeschaltet. Was kann ich tun?
Hirn erhellen Gruß,
Peter
Moin,
da hat jmd deinen Apacha nach Schwachstellen abgeklopft.
Entweder du hast einen Router im Inet hängen der per Portforwarding tcp/80 bzw 443 an den xampp weiterleitet, oder das sind gespoofte IPs die eigentlich aus deinem LAN kommen. Pack mal einen Wireshark auf die Kiste und sie dir den Traffic live an - dann erkennst du auch welche MAC Adresse unter den IPs kommuniziert und kannst evtl die Quelle ausfindig machen.
lg,
Slainte
da hat jmd deinen Apacha nach Schwachstellen abgeklopft.
Entweder du hast einen Router im Inet hängen der per Portforwarding tcp/80 bzw 443 an den xampp weiterleitet, oder das sind gespoofte IPs die eigentlich aus deinem LAN kommen. Pack mal einen Wireshark auf die Kiste und sie dir den Traffic live an - dann erkennst du auch welche MAC Adresse unter den IPs kommuniziert und kannst evtl die Quelle ausfindig machen.
lg,
Slainte
Moin,
oder es hat jemand eine Schwachstelle des FTP-Servers ausgenutzt und dann eine Backdoor auf dem Server installiert. Z.B ein offenes Mailrelay um über deine IP Spams rauszuschicken, etc pp.
Mach also auch deinen FTP dicht und scanne den Server nach Malware.
Gruß jodel32
oder es hat jemand eine Schwachstelle des FTP-Servers ausgenutzt und dann eine Backdoor auf dem Server installiert. Z.B ein offenes Mailrelay um über deine IP Spams rauszuschicken, etc pp.
Mach also auch deinen FTP dicht und scanne den Server nach Malware.
Gruß jodel32
Hallo Peter,
du hast ja recht, die Panik macht dunkel.
Das Protokoll ist vom Apache aud dem xampp. Das alles läuft auf einem Windows Server 2008.
Nur die privaten Adressen gehören zu mir. Keine der anderen Adressen sind von mir. Deren Protokolle sind verschieden.
Ist auch egal denn sie gehören hier nicht hin!
Was ich suche ist also die Schwachstelle die diese Zugriffe erlaubt.
Gruß Thomas
du hast ja recht, die Panik macht dunkel.
Das Protokoll ist vom Apache aud dem xampp. Das alles läuft auf einem Windows Server 2008.
Nur die privaten Adressen gehören zu mir. Keine der anderen Adressen sind von mir. Deren Protokolle sind verschieden.
Ist auch egal denn sie gehören hier nicht hin!
Was ich suche ist also die Schwachstelle die diese Zugriffe erlaubt.
Gruß Thomas
Hallo,
und
heben sich irgend wie auf, oder wo genau steht die Firewall?
Gruß
Dobby
Es gibt keine Weiterleitung für Zugriffe von Aussen.
und
Ich habe eine Firewall auf dem Router laufen die noch eine FTP-Weiterleitung auf diesen Server hat.
heben sich irgend wie auf, oder wo genau steht die Firewall?
Gruß
Dobby
Zitat von @SlainteMhath:
oder das sind gespoofte IPs die eigentlich aus deinem LAN kommen. Pack mal einen Wireshark auf die Kiste und sie dir den Traffic live an - dann
erkennst du auch welche MAC Adresse unter den IPs kommuniziert und kannst evtl die Quelle ausfindig machen.
oder das sind gespoofte IPs die eigentlich aus deinem LAN kommen. Pack mal einen Wireshark auf die Kiste und sie dir den Traffic live an - dann
erkennst du auch welche MAC Adresse unter den IPs kommuniziert und kannst evtl die Quelle ausfindig machen.
Das kann man an sich ausschließen - die Antworten auf Pakete mit diesen Adressen wären über das Standardgateway (Router) geleitet worden und der hätte es im Zweifel ins Internet hinaustransportiert. Es wäre so kein SYN-ACK zustande gekommen und erst Recht kein HTTP-Request
Kann es sein, dass die Firewall sich per UPnP steuern lässt und dein Server diese freundlich gebeten hat, den Port zu ihm durchzulassen?
Hast du mal probiert, von außen (Smartphone über Mobilfunk) auf deinen Server per HTTP zu kommen? Falls das geht, lässt die Firewall die Pakete rein und du hast das reguläre Grundrauschen gesehen.
Hallo Thomas,
mal doch bitte mal ein Netzwerkdiagramm (mit Typenbez.) und gib uns alle Infos.
Außerdem, ändere doch bitte den Threadtitel auf "meinen" internen Webserver.
Grüße
mal doch bitte mal ein Netzwerkdiagramm (mit Typenbez.) und gib uns alle Infos.
Außerdem, ändere doch bitte den Threadtitel auf "meinen" internen Webserver.
Grüße
Hallo an Alle,
danke für die Unterstützung. ich kann Entwarnung geben.
Es hatte sich doch in der Weiterleitung für den FTP-Server ein Fehler eingeschlichen, der diese Zugriffe erlaubt hat.
Ich hoffe es war auch die einzige Quelle.
Gruß Thomas
danke für die Unterstützung. ich kann Entwarnung geben.
Es hatte sich doch in der Weiterleitung für den FTP-Server ein Fehler eingeschlichen, der diese Zugriffe erlaubt hat.
Ich hoffe es war auch die einzige Quelle.
Gruß Thomas