[linux] Re: sappige wormen

[Cecil Westerhof]

Op ma, 14-03-2005 te 08:11 +0100, schreef paai:
> Ik wil de studenten weer eens laten zien wat voor inbraakpogingen
> via de logfiles zichtbaar te maken zijn. Een paar jaar geleden
> hoefde ik alleen maar 'grep NNN < access_log' in te typen voor een
> huiveringwekkende lijst code red wormen; wat is tegenwoordig een
> veel voorkomende string in de apache of system logfiles die op
> inbraakpogingen e.d. wijst?

Ik kom i.i.g. de volgende dingen tegen:
        GET /sumthin HTTP/1.0
        POST /_vti_bin/_vti_aut/fp30reg.dll
        GET /default.ida?XXXXXX...
        GET /manual HTTP/1.0
        GET /manual/ HTTP/1.0
        GET //cgi-bin/awstats/awstats.pl?configdir=|%20id%20| HTTP/1.1
        GET //cgi-bin/awstats.pl?configdir=|%20id%20| HTTP/1.1
        GET //cgi/awstats.pl?configdir=|%20id%20| HTTP/1.1
        GET //awstats/awstats.pl?configdir=|%20id%20| HTTP/1.1
        GET /manual/index.html HTTP/1.1

Dat zijn denk ik wel de belangrijkste. Sowieso kun je natuurlijk kijken
naar pagina's die niet bestaan. (En die geen verkeerde link van jezelf
zijn.)
Wat me hierbij opvalt zijn de awstats entries. Blijkbaar wordt Linux
tegenwoordig ook getarged. Wel belangrijk om hier rekening mee te houden
als je awstats hebt geïnstalleerd. Van de site:
        Warning, a security hole was recently found in AWStats versions
        from 5.0 to 6.3 (Partially fixed in 6.3) when AWStats is used as
        a CGI: A remote user can execute arbitrary commands on your
        server using permissions of your web server user (in most cases
        user "nobody").

Voor de rest heb ik ook het gevoel dat het tegenwoordig wel meevalt.

-- 
Cecil Westerhof <CecilWesterhof op xs4all.nl>