[Allegro] mutmaßlicher Exploit-Versuch

Klaus Lehmann lehmann_klaus at t-online.de
Mo Aug 18 14:18:25 CEST 2014 

 
Guten Tag Frau Frenz,
danke für Ihre Nachricht.
Am Montag, 18. August 2014 um 09:42 schrieben Sie.
Ihre Nachricht finden Sie am Ende dieser eMail.

> Liebe Liste,
> bei uns gab es in den letzten Tagen auf unsrem Avanti-Server wiederholt
> eine große Anzahl an apache2 und avanti-Prozesse bis zum DoS für die 
> virtuellen HTTP-Hosts.
> Bei der Analyse der Logfiles fielen Einträge folgender Art auf, die in
> einigem zeitlichen Abstand von geographisch weitverteilten IP-Adressen
> mit dem jeweils gleichen User-Agent gestellt wurden.
> [15/Aug/2014:20:38:16 +0200] "GET 
> /tud/find.php?urG=%7C2%00%27%7C%7CSLeeP%283%29%26%26%271&urS=_department
> HTTP/1.0" 200 0 "-" "Opera/9.27"
> Die Decodierung dieses URL-Encoded-Strings ergibt folgenden Wert:
>      /tud/find.php?urG=|2'||SLeeP(3)&&'1&urS=_department

> Wir gehen von einem Exploit-Versuch aus.
> Ist dieses Problem bei Ihnen bekannt?


naja. da hat jemand von den bösen junks und mädelz mehr oder weniger zufällig ihre 
adresse gefunden. ich finde: kein grund zur beunruhigung.


ich versuch' mal ein paar hinweise, gedanken und -ansätze zu geben...

1. es kann jeder behaupten, daß er mit opera version 9.27 daherkommt.
machen sie mal einen selbsttest: mit wget sich was runterziehen, mit 
dem parameter -U (z.b. -U schlumpfdiedelbumms). und jetzt mal einen 
blick in die apachen-logs werfen ;-)

2. avanti/acon ist(sind) nicht so "intelligent" wie mysql. da kann 
gesucht werden, was wolle. bei php-konstruktionen mit mysql (oder 
ms-sql) müssen sie schon eher die eingabe/übergabe kontrollieren. 
dazu dann etwas später...

3. wen diese angaben stören, der benutze eine "intelligente" firewall, 
die z.b. wiederholungstäter aufspürt, dem isp auch eine beschwerdeemail 
schickt, die ipnummern dann tagelang bannt usw usw. hinweis: da die 
ip-nummern sich immer(!) abwechseln, sie sind ja (teils unfreiwillige) 
mitglieder von botnetzen, bringt es nichts, ipnummern dauerhaft zu 
bannen. die "intelligente" firewall sollte also AUCH muster erkennen 
können.

4. eher auf den kecks gehend sind die offiziellen (google)bots.
ich habe schon öfters z.b. den googlebot im verdacht gehabt, 
für einige zusammenstürze bei meinen (mittlerweile) 33 
onlinekatalogen verantwortlich zu sein. da könnte man in robots.txt 
dann ein disallow für den googlebot setzen.... (das sollte REIFlichst 
überlegt werden)....

5. zu 2.:
man könnte modsecurity (nur für apache) einsetzen. man könnte. das teil ist aber 
megaschwer! ich habe eher mich blockiert, als einen vernünftigen 
effekt bekommen zu haben. leider gibt es kein fertiges modul für 
avanti ;-)

6. man mache sich gedanken, wie man auf das aussetzen von avanti 
reagiert. man könnte z.b. ein modul für nagios bauen.... oder oder. 
via BASH gibts da einige nette möglichkeiten... ;-)

7. was auch ganz wichtig ist: bei der größe des avanti-log's gibt es 
irgendwo ein großes stopschild! sie kann nicht größer als 2GB werden. 
definitiv. also:hier sich um einen guten "logrotater" bitte kümmern.

8. was auch sehr schade ist, deshalb macht der einsatz von nagios 
nicht immer sinn: wenn im apachenlog sowas wie drinsteht:
[Mon Aug 18 05:30:04 2014] [error] [client 66.249.69.244] PHP Warning:  fsockopen(): unable to connect to 127.0.0.1:4949 (Connection refused) i
n /home/cat/public_html/av_ini.php on line 165
dann kann das schon das ende vom avanti sein, ohen das der avanti es 
gleich bemerkt ;-)

...man kann schon sachen erleben... (ich mache das seit 2003 ;-)



viele grüße
ihr klaus lehmann


-- 
Mit freundlichen Grüßen,
Ihr Klaus Lehmann
http://allegronet.de * eMail: allegronet at t-online.de * phone: 03528-452 807(fax 809) * mobil: 0171-953 7843
allegronet.de * Klaus Lehmann * D-01454 Radeberg * Bahnhofstr. 1
zuständiges Finanzamt: FA Hoyerswerda, zuständige Kammer: IHK Dresden
zuständige Aufsichtsbehörde: Gewerbeamt Radeberg, USt-IdNr: DE247550760
* Software für zufriedene Bibliothekare: 1000x bewaehrt und ergiebig
* Bereits 4x allegro-utf8. Buchen Sie die allegro-Roadshow
* Yes we can. Only with allegro. Yes we do. Always with allegro.
* Internetkataloge & WebHosting für Allegro-C & Web 2.0 with VuFind
* 2011: Sponsor der Peter-Sodann-Bibliothek (Staucha)
* 2012: mit allegro-utf8 V3 und allegro-vufind auf der IFLA in Helsinki
* 2013: allegronet ist ein eingetragenes Warenzeichen





Am Montag, 18. August 2014 um 09:42 schrieben Sie:
> Liebe Liste,

> bei uns gab es in den letzten Tagen auf unsrem Avanti-Server wiederholt
> eine große Anzahl an apache2 und avanti-Prozesse bis zum DoS für die 
> virtuellen HTTP-Hosts.

> Bei der Analyse der Logfiles fielen Einträge folgender Art auf, die in
> einigem zeitlichen Abstand von geographisch weitverteilten IP-Adressen
> mit dem jeweils gleichen User-Agent gestellt wurden.

> [15/Aug/2014:20:38:16 +0200] "GET 
> /tud/find.php?urG=%7C2%00%27%7C%7CSLeeP%283%29%26%26%271&urS=_department
> HTTP/1.0" 200 0 "-" "Opera/9.27"

> Die Decodierung dieses URL-Encoded-Strings ergibt folgenden Wert:

>      /tud/find.php?urG=|2'||SLeeP(3)&&'1&urS=_department

> Wir gehen von einem Exploit-Versuch aus.

> Ist dieses Problem bei Ihnen bekannt?

> Viele Grüße
> Birgit Frenz

Mehr Informationen über die Mailingliste Allegro