OVH Community, your new community space.

apache2-error.log: /w00tw00t.at.ISC.SANS.DFind


MRC
03.02.09, 16:27
Zitat Zitat von Jenstheclown
habe gestern auch an Abuse@1und1.de eine Mail geschickt, bin gespannt was passiert..
1&1 hat mir ne Mail zurückgeschrieben und sich für meine mitarbeit bedankt. Ein andere Serverprovider/betreiber der Streamingserver anbietet hat sich mit mir sofort nach meiner Mail in Verbindung gesetzt und prüft nun den Server
Jenstheclown
03.02.09, 15:51
habe gestern auch an Abuse@1und1.de eine Mail geschickt, bin gespannt was passiert..
aLca
03.02.09, 14:23
Bei Sovielen Servern, hat man immer mal welche Dabei, mit denen unfug getrieben wird. Holt sich ja jeder hinz und kunz nen root, ohne das nötige "allgemein" wissen...
MoD.666
03.02.09, 13:38
Mhhhh, lustiger Weise kommen jetzt auch noch IP-Adressen aus der OVH-Range dazu: 91.121.152.104 - auch ne verseuchte Windows-Möhre. Ich habe den Eindruck, dass hier so langsam ein neues Bot-Netz aufgebaut wird, von dem wir in Zukunft noch einiges zu erwarten haben...

So long
MRC
03.02.09, 09:10
Zitat Zitat von k1ng
du weisst schon, das nach einem restart alle iptables rules weg sind
Jetzt ja oO
Ich hatte gelesen das man danach den Server restarten soll. Habe leider noch nicht viel mit IP-Tables am Hut gehabt und auch nicht benötigt. Deswegen meine Unwissenheit sorry
k1ng
03.02.09, 08:32
[QUOTE=MRC;37091]Hallo!

Also mein Problem ist wie das Thema schon sagt das mein error.log von Nachrichten wie:



Nun habe ich versucht mit "iptables -A INPUT -s 212.227.62.187 -j DROP" diese beiden IPs zu bannen und danach auch schön den Server restartet.
Allerdings kommen immernoch diese Meldungen im Errorlog vor was ja nicht das Hauptproblem ist.


du weisst schon, das nach einem restart alle iptables rules weg sind
MoD.666
03.02.09, 07:59
Die Einträge werden von einem Tool namens dfind generiert. Dies ist ein Scanner, der Sicherheitslücken in ungepatchten IIS-Systemen sucht. Hat für den Indianer also keine Bedeutung.
Nichts destotrotz habe ich auch das Abuse-Team von 1und1 angeschrieben, da die IP aus deren Range stammt. Habe denen auch geschrieben, dass sie bis heute 16 Uhr Zeit haben, das Problem zu lösen, ansonsten löse ich das

So long
Jenstheclown
02.02.09, 21:20
Bei mir genau das selbe!!!

Code:
[Sun Feb 01 03:19:19 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sun Feb 01 03:24:41 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sun Feb 01 03:30:00 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sun Feb 01 03:35:20 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sun Feb 01 03:40:40 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sun Feb 01 03:46:03 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sun Feb 01 03:51:26 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sun Feb 01 03:56:49 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sun Feb 01 04:02:11 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sun Feb 01 04:07:34 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
MRC
02.02.09, 18:46
Zitat Zitat von kro
MRC wrote:
> Nun habe ich versucht mit "iptables -A INPUT -s 212.227.62.187 -j DROP"
> diese beiden IPs zu bannen und danach auch schön den Server restartet.

Davon abgesehen solltest du auch eine mail an die jeweilige im whois der IP
stehende abuse@ - Adresse schreiben und die relevanten Log-Auszüge
einfügen. Da sich die IPs nicht in Korea, Russland oder so befinden besteht da
sicher auch eine Chance auf Linderung.
--
Felix
OVH Team
Ich hab direkt ne Mail an 1&1 geschickt den anscheinend das Ding gehört.
kro
02.02.09, 18:38
MRC wrote:
> Nun habe ich versucht mit "iptables -A INPUT -s 212.227.62.187 -j DROP"
> diese beiden IPs zu bannen und danach auch schön den Server restartet.

Davon abgesehen solltest du auch eine mail an die jeweilige im whois der IP
stehende abuse@ - Adresse schreiben und die relevanten Log-Auszüge
einfügen. Da sich die IPs nicht in Korea, Russland oder so befinden besteht da
sicher auch eine Chance auf Linderung.
--
Felix
OVH Team
MRC
02.02.09, 18:28
Hallo!

Also mein Problem ist wie das Thema schon sagt das mein error.log von Nachrichten wie:
Code:
[Mon Feb 02 16:34:07 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Feb 02 16:39:12 2009] [error] [client 81.169.143.200] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Feb 02 16:39:28 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Mon Feb 02 16:44:49 2009] [error] [client 212.227.62.187] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
und:

Code:
[Mon Feb 02 12:32:00 2009] [error] [client 213.39.255.36] File does not exist: /var/www/phpMyAdmin-2.6.4
[Mon Feb 02 12:32:00 2009] [error] [client 213.39.255.36] File does not exist: /var/www/phpMyAdmin
[Mon Feb 02 12:32:00 2009] [error] [client 213.39.255.36] File does not exist: /var/www/phpMyAdmin-2.2.7-pl1
[Mon Feb 02 12:32:01 2009] [error] [client 213.39.255.36] File does not exist: /var/www/web
[Mon Feb 02 12:32:01 2009] [error] [client 213.39.255.36] File does not exist: /var/www/xampp
regelrecht zugemüllt ist.

Nun habe ich versucht mit "iptables -A INPUT -s 212.227.62.187 -j DROP" diese beiden IPs zu bannen und danach auch schön den Server restartet.
Allerdings kommen immernoch diese Meldungen im Errorlog vor was ja nicht das Hauptproblem ist.

Seit diese beiden IPs ständig den Server scannen steigt meine load average in die Höhe. Selbst wenn ich eine einfach HTML-Seite aufrufe schießt diese auf 3.64 wenn nicht sogar höher.
Ich hoffe Ihr könnt mir da helfen das ich die beiden von dem Server fernhalten kann.

MFG MRC