688254

Apache: Merkwürdige Logdatei

In der Logdatei Ihres Apache-Webservers finden Sie merkwürdige Einträge. Unterschiedliche Anwender versuchen, die Datei Fp30reg.DLL zu laden oder aber Nsiislog.DLL abzurufen. Außerdem lesen Sie kryptische Abrufe wie "x90" – und zwar tausende Male hintereinander. Wurde Ihr Server gehackt? Wir sagen Ihnen, was die Logeinträge bedeuten.

Anforderung:

Profis

Zeitaufwand:

Mittel

Problem:

In der Logdatei Ihres Apache-Webservers finden Sie merkwürdige Einträge. Unterschiedliche Anwender versuchen, die Datei Fp30reg.DLL zu laden oder aber Nsiislog.DLL abzurufen. Außerdem lesen Sie kryptische Abrufe wie "x90" – und zwar tausende Male hintereinander. Wurde Ihr Server gehackt?

Lösung:

Solche Logeinträge belegen zwar, dass es Angriffsversuche gegeben hat – sie sagen aber nichts darüber aus, ob sie erfolgreich waren. Den DLL-Dateinamen können Sie entnehmen, dass sich die Angriffe gegen den Microsoft Internet Information Server (IIS) und nicht gegen Apache gerichtet haben. Bei den tausendfach wiederholten Byte-Mustern handelt es sich hingegen um Versuche, einen Buffer Overflow auszulösen. Die Gefahr durch Buffer Overflows ist nicht nur ein Problem von Windows-Servern, sondern auch von alten Apache-Versionen.

Generell sollten Sie einen Server-Dienst nur laufen lassen, wenn Sie ihn wirklich benötigen. Apache startet nach der Installation einiger Linux-Distributionen automatisch. Sie können ihn beispielsweise unter Suse stilllegen, indem Sie sich in einem Terminal mit "su -" als root anmelden und danach den Befehl

chkconfig apache off

eingeben. Wenn Sie sich entscheiden, ihn weiter laufen zu lassen, sollten Sie regelmäßig die Sicherheitsmeldungen unter www.pcwelt.de/sicherheit oder der Universität Stuttgart unter http://cert.uni-stuttgart.de lesen.

0 Kommentare zu diesem Artikel
688254