Apache2, unkown Logentries

1

Estamos enfrentando alguns problemas estranhos em um de nossos servidores da web. Parece que o servidor está off-line em algum momento por alguns minutos, o que pode levar até uma hora. Depois de investigar os arquivos de log eu encontrei muitas entradas como esta

94.23.96.3 - - [23/May/2011:10:01:26 +0200] "GET /webdav/shell.php?act=phptools&host=69.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
94.23.96.3 - - [23/May/2011:10:02:00 +0200] "GET /webdav/shell.php?act=phptools&host=69.x.x.149&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:13 +0200] "GET /webdav/shell.php?act=phptools&host=24.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:14 +0200] "GET /webdav/shell.php?act=phptools&host=24.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:28 +0200] "GET /webdav/shell.php?act=phptools&host=67.x.x.xt&ime=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:28 +0200] "GET /webdav/shell.php?act=phptools&host=67.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:42 +0200] "GET /webdav/shell.php?act=phptools&host=99.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:42 +0200] "GET /webdav/shell.php?act=phptools&host=99.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"

Eu verifiquei o servidor e a raiz do apache para esclarecer que o site não foi invadido. Eu não encontrei nada.

Alguém pode me explicar o que é isso? E como podemos parar isso?

Estamos executando um Ubuntu 10.04 LTS com as atualizações mais recentes

Apache Server version: Apache/2.2.14 (Ubuntu)
    
por onigunn 23.05.2011 / 10:10

1 resposta

1

O IP de abertura está tentando navegar nas páginas /webdav/shell.php? como é provável que seja uma vulnerabilidade conhecida. Se você tivesse um aplicativo desse tipo, ele tentaria hackear seu servidor ou usá-lo de alguma forma para espalhar sua mensagem.

Parece que você tem uma reconfiguração do Apache para lidar com páginas 404 (com base no código de resposta 302).

Adicione os ip's ao seu iptables ou dispositivo de firewall ...

    
por 23.05.2011 / 13:13

Tags