Wurde mein Server gehackt? w00tw00t.at.ISC.SANS.DFind

Ich bin mir ziemlich sicher, dass mein Server gehackt wurde. Ich sehe diese Einträge in meinem Zugriffsprotokoll als die letzten beiden vor einer Reihe von 500 Fehlermeldungen. Sie beziehen sich auf die Datenbank, aber ich habe den genauen Fehler noch nicht herausgefunden. Ich versuche immer noch herauszufinden, was es bedeutet - kann mir jemand helfen:

208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"

69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-"

Aktualisieren

OK - bei weiteren Untersuchungen - aus irgendeinem Grund wurde der MySQL-Dienst beendet. Ich habe es neu gestartet und alles sieht normal aus. Es fehlen keine Daten, aber ich fühle mich wirklich nicht wohl über den Spuk dieser seltsamen Einträge - wie kann ich überprüfen, ob sich jemand in meinem System befunden hat?

In meinem MYSQl-Protokoll sehe ich diese Zeilen - wie wirkt sich das auf das aus, was passiert ist?

Version: '5.0.77'  socket: '/var/lib/mysql/mysql.sock'  port: 3306  Source distribution
110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown

110616 17:34:20  InnoDB: Starting shutdown...
110616 17:34:21  InnoDB: Shutdown completed; log sequence number 0 2054508
110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete

110616 17:34:21  mysqld ended

Der DFind-Scan ist genau das, ein Scan, und zeigt keinen Verstoß an. Sie werden es die ganze Zeit sehen, wenn Sie zuschauen. Siehe hier .

Dies ist ein elegantes Herunterfahren von MySQL, das möglicherweise weitere Untersuchungen rechtfertigt, aber für sich genommen nicht besonders verdächtig ist.

Diese beiden Einträge im Zugriffsprotokoll sind kein Grund zur Sorge.

Der erste ist vollkommen in Ordnung (jemand unter 208.90.56.152 hat nach Ihrem Website-Stammverzeichnis gefragt und es erhalten), und der zweite sieht aus, als hätte jemand unter 69.162.74.102 versucht, auf eine w00tw00t.at.ISC.SANS.DFind:)auf Ihrer Website aufgerufene Datei zuzugreifen ... und natürlich nicht. finde es nicht.

Leute (oder Bots) fragen möglicherweise die seltsamsten Dinge an Ihren Webserver. das ist egal, was zählt ist, dass sie sie nicht finden :-)

Eine Aufzeichnung GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1in Ihren Raw Access-Protokollen zeigt an, dass jemand einen Schwachstellenscanner mit diesem Fingerabdruck ausführt.

Dieser Eintrag bedeutet für sich genommen nicht, dass Sie gehackt wurden. Dies bedeutet nur, dass jemand Ihren Server mithilfe eines Web-Schwachstellenscanners auf potenzielle Schwachstellen überprüft hat. Diesen Einträgen können andere Brute-Force-Einträge folgen (die tatsächlichen Hackversuche).

Dieser Eintrag sollte Ihnen eine Nachricht senden. Halten Sie Ihren Code sauber! Die meisten Websites werden fast täglich auf die eine oder andere Weise angegriffen. Ihre beste Verteidigung besteht darin, zu lernen, wie Sie Ihre Dateien, Verzeichnisse und Skripte vor Hackern schützen können. Stellen Sie sicher, dass Ihre Datei- und Verzeichnisberechtigungen richtig eingestellt sind. Noch wichtiger ist, verwenden Sie nur sichere Skripte, die einen guten Ruf für die Sicherheit im Internet haben, und stellen Sie sicher, dass Sie die übergeordneten Websites immer mindestens einmal im Monat auf Updates und Fehlerbehebungen überprüfen.

Verbunden:

• Umgang mit HTTP w00tw00t-Angriffen
• Blockieren von w00tw00t-Scans
• w00tw00t.at.ISC.SANS.DFinden Sie iptables fix - missbräuchlich?

Wie andere bereits erwähnt haben, handelt es sich nur um einen Scanner. Auf ein paar Dutzend Webservern habe ich ungefähr 15 Variationen von w00t gesehen; wahrscheinlich ein paar hunderttausend Hits im letzten Jahr. Wenn es Sie stört , fügen Sie einfach eine Apache-Direktive hinzu, um Verbindungen zu einem Client mit einer w00t UserAgent- Zeichenfolge zu verweigern . Ich verfolge dieses Zeug, also lasse ich es schlagen.