ist mein Webserver gehackt ?

4 Jun 2014

      Hi,

ich bin eben über seltsame Einträge im access_log des httpd gestolpert:

1.163.5.79 - - [10/May/2014:14:40:52 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.47.185 - - [11/May/2014:13:04:39 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.0.50 - - [11/May/2014:13:07:46 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.231.93.215 - - [11/May/2014:23:09:25 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.196.100 - - [13/May/2014:13:39:55 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.91.222 - - [14/May/2014:03:39:07 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.26.229 - - [14/May/2014:05:33:50 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.93.36 - - [14/May/2014:08:06:54 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.4.243 - - [15/May/2014:14:30:21 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.5.185 - - [17/May/2014:14:32:54 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.30.9 - - [17/May/2014:23:15:01 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.220.27 - - [18/May/2014:05:59:45 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.221.107 - - [18/May/2014:08:39:51 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.28.72 - - [19/May/2014:07:49:21 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.216.8 - - [20/May/2014:17:18:58 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.44.79 - - [21/May/2014:05:42:26 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.231.86.193 - - [22/May/2014:12:12:00 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.26.250 - - [25/May/2014:23:49:17 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.248.119.141 - - [28/May/2014:02:51:16 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.8.87 - - [29/May/2014:16:34:36 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.26.114 - - [29/May/2014:22:44:16 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.231.5.207 - - [01/Jun/2014:01:14:23 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"

Die IP's sind teilweise aus China und Taiwan.  Nachdem was ich bisher gelesen habe (http://en.wikipedia.org/wiki/HTTP_tunnel#HTTP_CONNECT_Tunneling ), kann man damit einen http-Proxy benutzen. Den habe ich aber nicht:

pc52974:~ # rpm -qa|grep -i apache

apache2-mod-apparmor-2.0-21.2
apache2-doc-2.2.3-16.48.1
apache2-mod_php5-5.2.14-0.42.1
perl-Apache-Session-1.80-13.4
apache2-2.2.3-16.48.1
apache2-mod_tidy-0.5.5-13.4
apache2-prefork-2.2.3-16.48.1
apache2-devel-2.2.3-16.48.1
apache2-mod_perl-2.0.2-14.2
apache2-mod_fcgid-1.07-14
apache2-example-pages-2.2.3-16.48.1

Somit dürfte das doch in diesem Fall nicht kritisch sein, oder ? Weitere Frage: das proxy-Modul vom httpd hat nix mit Squid zu tun, oder ?
Es versuchen also Clients meinen nicht vorhandenen Proxy zu mißbrauchen.
Kann ich was gegen diese Zugriffe tun ?

Außerdem habe ich noch dieses:

222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
221.10.55.154 - - [11/Jan/2014:12:12:31 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.73.28.184 - - [25/Jan/2014:16:27:09 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
2.187.28.154 - - [07/Feb/2014:20:01:01 +0100] "GET http://www.google.com/ HTTP/1.0" 200 25051 "-"
121.238.254.122 - - [01/Mar/2014:23:59:11 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
121.238.254.238 - - [07/Mar/2014:23:34:18 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
61.136.151.251 - - [19/Mar/2014:13:20:04 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.72.198.155 - - [09/Apr/2014:21:03:26 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.73.66.85 - - [15/Apr/2014:07:01:20 +0200] "GET http://www.google.com/ HTTP/1.0" 200 25051 "-"
49.73.66.30 - - [28/Apr/2014:07:14:03 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.73.66.84 - - [29/Apr/2014:10:39:44 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.73.66.97 - - [08/May/2014:10:28:33 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
113.106.172.152 - - [11/May/2014:04:56:45 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"

Wenn ich per netcat händisch mit dem httpd spreche und einen solchen GET-Request absetze, kriege ich verschiedene Antworten:
Wenn ich den Request ohne Protokollversion absetze (GET http://www.google.com/), bekomme ich sofort die index.php von unserer Webpräsenz.
Wenn ich den GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0) absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode 400, die vorgibt von www.google.com zu sein:

GET http://www.google.com/ HTTP/1.0
HTTP/1.1 400 Bad Request
Date: Wed, 04 Jun 2014 15:45:06 GMT
Server: Apache
Content-Length: 290
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
<hr>
<address>Apache Server at www.google.com Port 80</address>
</body></html>

Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam auch keines von dort. ???

Wieso ist die Antwort abhängig von der Angabe des Protokolls ? Und wieso gibt die Seite vor, von google zu kommen, obwohl dem nicht so ist ?

Thanks for any hints.

Bernd

--
Bernd Lentes

Systemadministration
Institut für Entwicklungsgenetik
Gebäude 35.34 - Raum 208
HelmholtzZentrum münchen
bernd.lentes@helmholtz-muenchen.de
phone: +49 89 3187 1241
fax:   +49 89 3187 2294
http://www.helmholtz-muenchen.de/idg

Die Freiheit wird nicht durch weniger Freiheit verteidigt

Helmholtz Zentrum München
Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH)
Ingolstädter Landstr. 1
85764 Neuherberg
www.helmholtz-muenchen.de
Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe
Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen
Registergericht: Amtsgericht München HRB 6466
USt-IdNr: DE 129521671
-- 
Um die Liste abzubestellen, schicken Sie eine Mail an:
    opensuse-de+unsubscribe@opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+owner@opensuse.org

ist mein Webserver gehackt ?

Lentes, Bernd