Wurde mein Server gehackt? w00tw00t.at.ISC.SANS.DFind

8

Ich bin mir ziemlich sicher, dass mein Server gehackt wurde. Ich sehe diese Einträge in meinem Zugriffsprotokoll als die letzten beiden vor einer Reihe von 500 Fehlermeldungen. Sie beziehen sich auf die Datenbank, aber ich habe den genauen Fehler noch nicht herausgefunden. Ich versuche immer noch herauszufinden, was es bedeutet - kann mir jemand helfen:

208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"

69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-"

Aktualisieren

OK - bei weiteren Untersuchungen - aus irgendeinem Grund wurde der MySQL-Dienst beendet. Ich habe es neu gestartet und alles sieht normal aus. Es fehlen keine Daten, aber ich fühle mich wirklich nicht wohl über den Spuk dieser seltsamen Einträge - wie kann ich überprüfen, ob sich jemand in meinem System befunden hat?

In meinem MYSQl-Protokoll sehe ich diese Zeilen - wie wirkt sich das auf das aus, was passiert ist?

Version: '5.0.77'  socket: '/var/lib/mysql/mysql.sock'  port: 3306  Source distribution
110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown

110616 17:34:20  InnoDB: Starting shutdown...
110616 17:34:21  InnoDB: Shutdown completed; log sequence number 0 2054508
110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete

110616 17:34:21  mysqld ended
Jakob
quelle
Mögliches Duplikat von Mein Server wurde gehackt. NOTFALL
John Gardeniers
3
Kein Duplikat - der andere Link handelte von einem tatsächlichen DOS-Angriff.
Cyclops

Antworten:

17

Der DFind-Scan ist genau das, ein Scan, und zeigt keinen Verstoß an. Sie werden es die ganze Zeit sehen, wenn Sie zuschauen. Siehe hier .

Dies ist ein elegantes Herunterfahren von MySQL, das möglicherweise weitere Untersuchungen rechtfertigt, aber für sich genommen nicht besonders verdächtig ist.

Shane Madden
quelle
5
Weitere Informationen finden Sie unter w00tw00t in den Protokollen .
Cyclops
Vielen Dank für Ihre Antwort. Haben Sie Ratschläge zum Debuggen des Grundes für das Herunterfahren von MySQL? Jetzt mache ich mir ein bisschen Sorgen darüber, warum der MySQL-Dienst gerade heruntergefahren wurde.
Jakob
3
Zur Unterstützung von M. Madden: Ich habe dies und andere in meinen Serverprotokollen seit Jahren gesehen und sie weisen nicht auf Serverkompromisse hin. Sie sind das Ergebnis von untätigen oder böswilligen Personen, die nach Schwachstellen suchen. Gemäß RFC 2616 § 14.23 sollte Ihr HTTP-Server diese Anforderungen als fehlerhaft behandeln, da es sich um HTTP 1.1-Anforderungen ohne Host:Header handelt. Aus den veröffentlichten Protokollen geht hervor, dass dies der Fall ist (Statuscode 400).
JdeBP
6

Diese beiden Einträge im Zugriffsprotokoll sind kein Grund zur Sorge.

Der erste ist vollkommen in Ordnung (jemand unter 208.90.56.152 hat nach Ihrem Website-Stammverzeichnis gefragt und es erhalten), und der zweite sieht aus, als hätte jemand unter 69.162.74.102 versucht, auf eine w00tw00t.at.ISC.SANS.DFind:)auf Ihrer Website aufgerufene Datei zuzugreifen ... und natürlich nicht. finde es nicht.

Leute (oder Bots) fragen möglicherweise die seltsamsten Dinge an Ihren Webserver. das ist egal, was zählt ist, dass sie sie nicht finden :-)

Massimo
quelle
Es ist also nur ein Zufall, dass mein MySQL-Service nicht lange nach dieser Anfrage ausfiel.
Jakob
2
Ich glaube schon. Wenn Sie sich die Zeit genauer ansehen, werden Sie auch feststellen, dass MySQL tatsächlich mehr als eine Stunde später ausfiel .
Massimo
Vielen Dank für Ihre Antwort (ich kann nicht abstimmen, weil ich nicht genug Kredit habe :)
Jakob
Hallo Massimo, was ist, wenn meine Website nicht öffentlich ist? Was ist, wenn nur ich die IP / URL kenne oder wissen soll? In diesem Fall klingt es wie ein böswilliger Angriff, nicht wahr? Ich habe zwei drei Anfragen von drei IPs erhalten: eine für "w00tw00t.at.ISC.SANS.DFind" und zwei für "tmUnblock.cgi".
Amar
Wenn die seltsame Anfrage von einer internen Adresse stammt und Sie sie auf einem internen Computer verfolgen können, können Sie sie gerne untersuchen. Es könnte jedoch durch Malware infiziert sein. Es handelt sich nicht unbedingt um einen absichtlichen Angriff eines böswilligen Benutzers.
Massimo
3

Eine Aufzeichnung GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1in Ihren Raw Access-Protokollen zeigt an, dass jemand einen Schwachstellenscanner mit diesem Fingerabdruck ausführt.

Dieser Eintrag bedeutet für sich genommen nicht, dass Sie gehackt wurden. Dies bedeutet nur, dass jemand Ihren Server mithilfe eines Web-Schwachstellenscanners auf potenzielle Schwachstellen überprüft hat. Diesen Einträgen können andere Brute-Force-Einträge folgen (die tatsächlichen Hackversuche).

Dieser Eintrag sollte Ihnen eine Nachricht senden. Halten Sie Ihren Code sauber! Die meisten Websites werden fast täglich auf die eine oder andere Weise angegriffen. Ihre beste Verteidigung besteht darin, zu lernen, wie Sie Ihre Dateien, Verzeichnisse und Skripte vor Hackern schützen können. Stellen Sie sicher, dass Ihre Datei- und Verzeichnisberechtigungen richtig eingestellt sind. Noch wichtiger ist, verwenden Sie nur sichere Skripte, die einen guten Ruf für die Sicherheit im Internet haben, und stellen Sie sicher, dass Sie die übergeordneten Websites immer mindestens einmal im Monat auf Updates und Fehlerbehebungen überprüfen.

Verbunden:

Kenorb
quelle
Sie können anhand des "400" -Codes nicht erkennen, ob der Hacking-Versuch erfolgreich war. Ein Scan ist nur der erste Schritt eines Hacks und wird ausgeführt, um Informationen über Ihr System zu erhalten. Unabhängig davon, welche Antwort Ihr Server sendet (oder ob die Verbindung unterbrochen wird), informiert das Verhalten über den nächsten Schritt des Angriffs. (Wenn Sie ein vernünftig konfiguriertes System haben, besteht der nächste Schritt normalerweise darin, ein einfacheres Ziel zu finden.)
Joachim Wagner
Verbesserte die Antwort
Kenorb
0

Wie andere bereits erwähnt haben, handelt es sich nur um einen Scanner. Auf ein paar Dutzend Webservern habe ich ungefähr 15 Variationen von w00t gesehen; wahrscheinlich ein paar hunderttausend Hits im letzten Jahr. Wenn es Sie stört , fügen Sie einfach eine Apache-Direktive hinzu, um Verbindungen zu einem Client mit einer w00t UserAgent- Zeichenfolge zu verweigern . Ich verfolge dieses Zeug, also lasse ich es schlagen.

MrTuttle
quelle