Topic: Seltsame Einträge im access_log

[toldo]

Hallo zusammen,

ich habe meinen SME Server vor über einem Jahr in Betrieb genommen und noch nie Probleme gehabt. Alle Updates habe ich immer sofort gefahren.
Jetzt finde ich aber in meinem access_log öfter mal Einträge wie diese hier:

toldo 88.146.53.61 - - [20/Feb/2008:08:32:53 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
toldo 83.5.93.166 - - [20/Feb/2008:12:41:02 +0100] "POST /cgi-bin/firmwarecfg HTTP/1.1" 400 339 "-" "veryprivateacsor"

meine Domain heisst einfach toldo. Von daher habe ich die Befürchtung, dass da jemand über mein WPA verschlüsseltes WLAN in meine Domäne eingedrungen ist.
In meiner messages.log habe ich auch solche Einträge gefunden:
Feb 17 18:39:00 smeserver dhcpd: DHCPREQUEST for 192.168.11.177 from 00:16:e3:95:25:75 (your-f012292199) via eth0
Feb 17 18:39:00 smeserver dhcpd: DHCPACK on 192.168.11.177 to 00:16:e3:95:25:75 (your-f012292199) via eth0
Meine Rechner haben alle korrekte Netzwerknamen und nur einer holt über DHCP (den sehe ich auch in den Einträgen).

Meinen Schlüssel habe ich erstmal geändert aber jetzt frage ich mich wie ich meinen SMEServer mal nach Schädlingen untersuchen kann? Sind meine Vermutungen überhaupt richtig?

Danke für eure Hilfe.

Gruß
Torsten

[capri]

toldo 88.146.53.61 - - [20/Feb/2008:08:32:53 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"

Sie zum Beispiel: http://serversupportforum.de/forum/virtuelle-server/6951-dos.html

toldo 83.5.93.166 - - [20/Feb/2008:12:41:02 +0100] "POST /cgi-bin/firmwarecfg HTTP/1.1" 400 339 "-" "veryprivateacsor"

Scheint ein Statistik Analyzer zu sein, wenn du es nicht selbst installiert hast, repektive eine Installationsroutine eines Conributes oder einer Web Applikation, dann hat es dir wohl wer 'untergejubelt'.

Feb 17 18:39:00 smeserver dhcpd: DHCPREQUEST for 192.168.11.177 from 00:16:e3:95:25:75 (your-f012292199) via eth0
Feb 17 18:39:00 smeserver dhcpd: DHCPACK on 192.168.11.177 to 00:16:e3:95:25:75 (your-f012292199) via eth0
Meine Rechner haben alle korrekte Netzwerknamen und nur einer holt über DHCP (den sehe ich auch in den Einträgen).

Es scheint sich dabei um Anfragen mit IPv6 Adressen zu handeln, eigentlich nichts Gefährliches, aber man weiß ja Nie

In der Gesamtheit würde ich mal ganz Frech vermuten, da wollte dir Jemand einen Rootkit Satz für Windows Server unterjubeln, kann mich auch täuschen aber es sieht fast danach aus.

PS: Vielleicht ist es ja schon der 'Bundestrojaner' die diletantische Machart für verschiedene BSe würde wenigstens darauf hindeuten

[m]

@toldo
jetzt vegiss mal das andere Geschwafel, denn die Apache Logs sagen nur, dass jemand aus Prag und Warschau von deinem Webserver was abrufen wollen was es nicht gibt. Vermutlich haben die als Adresse eine IP benutzt die vor dir jemand anderes hatte. Die DHCP Logs zeigen, dass ein Device des Herstellers Askey eine IP angefordert und erhalten hat. Da Askey schwerpunktmäßig Wireless Devices und herstellt, wird es vermutlich ein WLAN Gerät gewesen sein. Wenn es nicht doch eines deiner eigenen Geräte war, war deine WLAN Konfiguration nicht korrekt. Aber selbst wenn es ein Fremder war, was kann er groß angestellt haben? Deinen SME als Mail und Internet Gateway benutzt, sonst nichts. Dass er das Root Password errät und "Schädlinge" installiert ist doch eher unwahrscheinlich.

[capri]

@toldo
jetzt vegiss mal das andere Geschwafel, ..

Ach sehr freundlich von dir

Aber was du aus meinen Posting, respektive den Links, herauslesen hättest der Angreifer versuchte ein, vermutlich RootKit, das nur auf Windows Rechnern lauffähig ist abzufragen, mit deinem Gedanken das erst jemand Anderes die IP hatte hast du sehr wahrscheinlich recht, und auch das für den SME7 Server da kaum Gefahr drohen wird, trotzdem ist es besser die genauren Umstände "Was wollte der Angreifer, und wie könnte das gefährlich werden?"  zu kennen als mit deiner Argumentation "Deinen SME als Mail und Internet Gateway benutzt, sonst nichts."

Ist wohl harmlos wenn man als Mailrelay missbraucht wird? Meine Leute die so argumentieren gehörte verboten einen eigenen Mailserver zu betreiben, hatte schon genug Ärger wegen Betreibern von Openrelays.