Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eventueller Malware Angriff auf nginx...

Frage Sicherheit Viren und Trojaner

Mitglied: linuxverbrezler

linuxverbrezler (Level 1) - Jetzt verbinden

06.03.2014, aktualisiert 00:00 Uhr, 2115 Aufrufe, 4 Kommentare, 1 Danke

Hab grad die Access Log von Nginx
durchgeforstet... hier taucht ab und an folgendes auf:

185.4.227.194 - - [05/Mar/2014:08:19:21 +0100] "GET http://24x7-allrequestsallowed.com/?PHPSESSID=1rmsxtj500143RUM%5CWHDD%5 ... HTTP/1.1" 200 15629 "-" "-"
92.240.68.152 - - [05/Mar/2014:08:36:14 +0100] "GET http://images4.byinter.net/say908.gif HTTP/1.1" 404 14015 "-" "webcollage/1.135a"


auf... was ja mit 200 beantwortet wird....
muß ich mir da Sorgen machen?


Kurze Mail
wäre sehr nett.
Danke!

Mitglied: quin83
06.03.2014 um 00:33 Uhr
Hi,

185.4.227.194 - - [05/Mar/2014:08:19:21 +0100] "GET
http://24x7-allrequestsallowed.com/?PHPSESSID=1rmsxtj500143RUM%5CWHDD%5 ... HTTP/1.1" 200 15629 "-"
Das ist ein ganz normaler Aufruf einer gültigen URL.
Ich kann auch http://24x7-allrequestsallowed.com/?blubb=test aufrufen. Und jetzt?

auf... was ja mit 200 beantwortet wird....
Da liegt ein Script, welches "Thank you for using our service" ausgibt.
Warum sollte da kein "HTTP 200 - OK" entstehen?

muß ich mir da Sorgen machen?
Also URL Injection und SQL Injection sieht man eigentlich schon immer wieder, wenn man einen Webserver im Netz betreibt.
Vielleicht klopft irgend wer oder was die Seite auf Schwachstellen ab. Meine private FritzBox wird alle paar Tage auf Port 22 / SSH getestet.
Mit sowas sollte man rechnen, wenn man ein System aus dem Internet erreichbar macht.

Grüße,

Daniel
Bitte warten ..
Mitglied: linuxverbrezler
06.03.2014 um 20:27 Uhr
Also URL Injection und SQL Injection sieht man eigentlich schon immer wieder, wenn man einen Webserver im Netz betreibt.
Vielleicht klopft irgend wer oder was die Seite auf Schwachstellen ab. Meine private FritzBox wird alle paar Tage auf Port 22 /
SSH getestet.
Mit sowas sollte man rechnen, wenn man ein System aus dem Internet erreichbar macht.



Daniel, Danke erstmal.
Also eher harmlos.

Kann ich sowas irgendwie unter Nginx unterbinden ?
Möchte eigentlich nicht das der WebServer irgendwelche fremden Seiten aufruft ausser seine eigenen
??
Bitte warten ..
Mitglied: quin83
07.03.2014, aktualisiert um 00:20 Uhr
Servus,

Kann ich sowas irgendwie unter Nginx unterbinden ?
Möchte eigentlich nicht das der WebServer irgendwelche fremden Seiten aufruft ausser seine eigenen

Sicher, aber dazu muss man erst mal verstehen, warum das passiert.
Der Webserver hat ja nicht Langeweile und läuft mal einfach so da hin. Irgendwo entsteht ja dieser Aufruf.

Ich kann mir aktuell 2 Szenarien vorstellen:

1. Include
Du hast irgendwo eine Datei, welche beim Aufruf wiederum zu dieser Adresse läuft.
Das kann z.B. eingebetteter Code, wie man das z.B. von Google Analytics kennt, oder ähnliches sein.

2. Falscher Header
Deine Webanwendung akzeptiert und verarbeitet Anfragen mit einem falschem HTTP "Host"-Header.
Beispiel: Du hast unter example.com eine Datei index.html liegen, welche das Bild /images/logo.jpg einbindet.
Sende ich dir jetzt eine falsche Anfrage, z.B. mit
wget --header "Host: www.nsa.gov" www.example.com/index.html
dann versucht dein Webserver für mich das Bild (/images/logo.jpg) von www.nsa.gov abzuholen.


Für mich verhält sich der Webserver korrekt und macht genau das, was er machen sollte.
In meinen Augen müsste man eher die dort verwendete Webanwendung zerlegen, warum dort sowas passiert.

Wenn das allerdings eine komplexere Anwendung ist, wäre ich dazu wohl zu faul.
Ich würde die Firewall vor dem Webserver anweisen: Webserver-IP, ausgehend -> Drop.
Fertig.
(Hinweis: Das geht natürlich nur, wenn die Firewall was taugt und SPI unterstützt. Andernfalls legt es den Webserver lahm.)

Grüße,

Daniel
Bitte warten ..
Mitglied: linuxverbrezler
20.04.2014 um 15:01 Uhr
Hi Daniel !

öhm... versuch das grad über GeoIp zu regeln...

IP aus China < Server sagt ok><Seitengröße 13,2Kb>
118.118.40.226 - - [20/Apr/2014:13:56:04 +0200] "GET / HTTP/1.0" 200 13248 "-" "-"

Ist das hier ein Bot ? wenn ja was soll diese Anfrage mit den "-" "-" ??

Kurze Mail wäre fein! Danke!
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Neue Magazin Ausgabe: Malware und Angriffe abwehren
Information von FrankViren und Trojaner

In der Ausgabe 03/2017 widmet sich das IT-Administrator Magazin dem Thema : Malware und Angriffe abwehren. So lest ihr ...

Hosting & Housing
Load Balancing mit nginx unter Windows
Frage von RockhunterHosting & Housing11 Kommentare

Hallo, ich versuche zurzeit Load Balancing mit nginx(upstream) unter Windows einzurichten, jedoch scheint die Art, wie ich es haben ...

Linux Tools
Problem mit nginx-ReverseProxy
Frage von DexthaLinux Tools1 Kommentar

Hallo, ich möchte aus Performance-Gründen einen nginx-ReverseProxy anstatt meines Apache-ReverseProxy einsetzen. Soweit funktioniert das ganze auch, nur habe ich ...

Server
NGINX - Mit Domains vom LAN erreichen
gelöst Frage von maddigServer3 Kommentare

Guten Abend, nach meinem Umstieg auf nginx ist mir etwas sehr blödes aufgefallen. Bisher war es immer mit z.b. ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 22 StundenMicrosoft Office8 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner14 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...