Hackerangriff?

[Gunzi]

Hallo, heute hab ich mir die Server-Logs mal wieder angesehen und das gefunden:

139.194.62.148 - - [16/Dec/2012:08:27:26 +0100] "-" 408 0 "-" "-"114.166.5.217 - - [16/Dec/2012:08:42:14 +0100] "\x8a\x9c?<\x0c\xae3" 400 301 "-" "-"
95.153.89.115 - - [16/Dec/2012:10:59:13 +0100] "GET http://www.google.com/ HTTP/1.0" 200 450 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
122.111.251.52 - - [16/Dec/2012:11:17:20 +0100] "-" 408 0 "-" "-"
87.194.80.73 - - [16/Dec/2012:11:32:14 +0100] "\x82\xd2kD\xe0" 200 237 "-" "-"
75.86.159.57 - - [16/Dec/2012:14:10:03 +0100] "-" 408 0 "-" "-"
88.200.188.63 - - [16/Dec/2012:16:10:15 +0100] "-" 408 0 "-" "-"
95.57.7.51 - - [16/Dec/2012:17:15:34 +0100] "-" 408 0 "-" "-"
181.47.70.148 - - [16/Dec/2012:17:30:54 +0100] "-" 408 0 "-" "-"
109.162.76.90 - - [16/Dec/2012:17:39:19 +0100] "-" 408 0 "-" "-"
77.213.4.3 - - [16/Dec/2012:17:45:53 +0100] "-" 408 0 "-" "-"
46.109.37.13 - - [16/Dec/2012:17:54:16 +0100] "{z\xed\xec\x8b\xbe\xe5\xdf\xe7\x93\x03\xca\x9e\x97>\xd0\x86g.\xf4\x1c\x8e{J \xf2\xd9A\xa5\x9b" 400 301 "-" "-"
59.93.202.187 - - [17/Dec/2012:09:02:24 +0100] "-" 408 0 "-" "-"
119.15.170.207 - - [17/Dec/2012:09:17:42 +0100] "-" 408 0 "-" "-"
[B]115.132.80.251 - - [17/Dec/2012:11:17:42 +0100] "\xb7\xfc\x94\xe8c\xfb\xa9\x14lB\xbc\xda\xb2R<\xc1\xa6`9\xc17\x1a\x83\xf3\xeaI&4\x8e\x82\xf22\xf9" 200 237 "-" "-"[/B]
65.93.169.229 - - [17/Dec/2012:13:18:22 +0100] "-" 408 0 "-" "-"
68.147.0.45 - - [17/Dec/2012:15:18:13 +0100] "-" 408 0 "-" "-"
186.221.103.101 - - [17/Dec/2012:17:18:17 +0100] "-" 408 0 "-" "-"
212.143.5.52 - - [17/Dec/2012:20:47:08 +0100] "GET / HTTP/1.0" 200 450 "-" "-"
115.71.239.150 - - [18/Dec/2012:04:18:48 +0100] "GET /user/soapCaller.bs HTTP/1.1" 404 470 "-" "Morfeus Fucking Scanner"
217.217.5.185 - - [18/Dec/2012:06:23:46 +0100] "-" 408 0 "-" "-"
114.172.199.239 - - [18/Dec/2012:06:38:34 +0100] "-" 408 0 "-" "-"
87.68.60.230 - - [18/Dec/2012:06:53:26 +0100] "-" 408 0 "-" "-"

später:

84.193.29.251 - - [18/Dec/2012:19:05:59 +0100] "d\xc4\xe1\xb9\xd3\x9f\xc9\xc4 \x9c\xa2\xfc\xb9*\xa2" 400 301 "-" "-"213.111.219.8 - - [18/Dec/2012:19:21:27 +0100] "-" 408 0 "-" "-"
78.205.249.173 - - [18/Dec/2012:21:21:47 +0100] "-" 408 0 "-" "-"

Vor allem der fett markierte Eintrag macht mir aufgrund des "200" Angst, wurde ich gehackt, die vielen "400"er glaub ich sind kein Problem, oder?

Was hat der kryptische Code mit dem "200" zu bedeuten, was war denn für den Server "200 OK"? :(

Ich hoffe ihr könnt mir helfen, ich bin grade echt verunsichert.

EDIT: Habe grade mal die IPs zurückverfolgt, eine aus Malaysia, eine aus Süd-Korea, eigentlich auf der ganzen Welt verteilt, Proxy oder viele verschiedene Versuche?

 

[w7]

Das ist Unicode. Es gibt einige alte IIS Installationen, die für solche Anfragen anfällig sind/waren. Es hat meines Wissens auch mal eine Buffer Overflow Anfälligkeit oder ähnliches für diese Anfrage in Apache gegeben. Du kannst die einzelnen Zeichen in einer Code-Tabelle nachgucken, da kommt dann z.B. so was raus: Unicode Hex Character Code ƒ - teilweise sind es auch tibetanische und andere Zeichen. Vermutlich also war es ein versuchter Angriff, ob er geklappt hat kann ich dir leider nicht sagen (manchmal werden Server mit dubiosen Anfragen auch reihenweise angepollt - irgendeinen wird es dann schon treffen). Du kannst ja mal mit curl oder einem ähnlichen Programm das gleiche zu deinem Server senden und gucken was er zurückgibt.

 

[sysop]

Hehe, da glaubt wirklich einer, es läuft noch irgendwo ein alter WinNT-Server mit dem IIS 2.0.
Vergiss es.

 

[Gunzi]

Puuh, vielen Dank, wie würde denn so eine Anfrage aussehen, also mit curl in der kommandozeile.
:) Danke für die Erleichterung

 

[w7]

Puuh, vielen Dank, wie würde denn so eine Anfrage aussehen, also mit curl in der kommandozeile.
:) Danke für die Erleichterung

Wenn du CURL hast am Besten

"curl -i http://meinserver.de/KRYPTISCHEANFRAGE"

Das -i gibt weitere Informationen, z.B. den 200er Code und den Header aus.

 

[Gunzi]

Da kommt leider immer nur "Das System kann den angegebenen Pfad nicht finden." pro anfrage direkt 2 mal hintereinander :/

Also: curl.exe -i http://subdomain.domain.tld/\xb7\xfc\x94\xe8c\xfb\xa9\x14lB\xbc\xda\xb2R<\xc1\xa6`9\xc17\x1a\x83\xf3\xeaI&4\x8e\x82\xf22\xf9

liefert: Das System kann den angegebenen Pfad nicht finden.
Das System kann den angegebenen Pfad nicht finden.

curl.exe -i "http://subdomain.domain.tld/\xb7\xfc\x94\xe8c\xfb\xa9\x14lB\xbc\xda\xb2R<\xc1\xa6`9\xc17\x1a\x83\xf3\xeaI&4\x8e\x82\xf22\xf9"

liefert: "curl: (6) Could not resolve host: subdomain.do... usw."

 

[w7]

Also kein 200er? Vielleicht ist es im Log ein bisschen anders eingetragen. Hmmm... aber sonst sind die Logs ok? Wahrscheinlich ist es nicht schlimm mit dem Angriffsversuch wenn du aktuelle Software hast. Das Hauptziel war seinerseits eh der IIS und manche alte Version von Apache.

 

[Gunzi]

Meine Anfragen stehen nicht im Server-log, gegen 19:00 sind aber neue reingekommen habe ich gerade gesehen:

71.180.181.136 - - [19/Dec/2012:19:15:59 +0100] "w\xbe" 200 237 "-" "-"

um 22:01:

78.24.26.21 - - [19/Dec/2012:22:01:34 +0100] "6\xddL\xe9\x9d\xe6\xbaii\xdd=\xef\x0fDl\xe3^l\x1bg\r\x0e\x91\xbc\x9f\x14\x83\xf7D\x07B\xa5\x93\x96}\x17%\xfeu\xa9*\xaf\xd5I\xdf\x9a" 400 301 "-" "-"

Server ist ein Apache2 mit php5 und mysql ;) Über apt-get installiert, ca. 14 oder 15 Dezember :)

"Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.4 with Suhosin-Patch configured"

 

[w7]

Ah, du kannst ja mal mit "top" oder einer Prozessliste nachspüren, ob irgendwelche ungewollte Prozesse laufen, sollte aber nicht der Fall sein. Am besten wäre es noch wenn du Apache so konfigurierst, dass er die Versionsinfo nicht mitschickt... viele Fragen auch einfach nur Server ab, um die Versionsinfo von Apache zu prüfen und dann abzugleichen ob es bekannte Lücken in der Software gibt.