Apache: Merkwürdige Logdatei
In der Logdatei Ihres Apache-Webservers finden Sie merkwürdige Einträge. Unterschiedliche Anwender versuchen, die Datei Fp30reg.DLL zu laden oder aber Nsiislog.DLL abzurufen. Außerdem lesen Sie kryptische Abrufe wie "x90" – und zwar tausende Male hintereinander. Wurde Ihr Server gehackt? Wir sagen Ihnen, was die Logeinträge bedeuten.
| Anforderung: | Profis |
|---|---|
| Zeitaufwand: | Mittel |
Problem:
In der Logdatei Ihres Apache-Webservers finden Sie merkwürdige Einträge. Unterschiedliche Anwender versuchen, die Datei Fp30reg.DLL zu laden oder aber Nsiislog.DLL abzurufen. Außerdem lesen Sie kryptische Abrufe wie "x90" – und zwar tausende Male hintereinander. Wurde Ihr Server gehackt?
Lösung:
Solche Logeinträge belegen zwar, dass es Angriffsversuche gegeben hat – sie sagen aber nichts darüber aus, ob sie erfolgreich waren. Den DLL-Dateinamen können Sie entnehmen, dass sich die Angriffe gegen den Microsoft Internet Information Server (IIS) und nicht gegen Apache gerichtet haben. Bei den tausendfach wiederholten Byte-Mustern handelt es sich hingegen um Versuche, einen Buffer Overflow auszulösen. Die Gefahr durch Buffer Overflows ist nicht nur ein Problem von Windows-Servern, sondern auch von alten Apache-Versionen.
Generell sollten Sie einen Server-Dienst nur laufen lassen, wenn Sie ihn wirklich benötigen. Apache startet nach der Installation einiger Linux-Distributionen automatisch. Sie können ihn beispielsweise unter Suse stilllegen, indem Sie sich in einem Terminal mit "su -" als root anmelden und danach den Befehl
chkconfig apache off
eingeben. Wenn Sie sich entscheiden, ihn weiter laufen zu lassen, sollten Sie regelmäßig die Sicherheitsmeldungen unter www.pcwelt.de/sicherheit oder der Universität Stuttgart unter http://cert.uni-stuttgart.de lesen.
