Attacke aus dem Netz!

Dokumentation eines Angriffs auf einen unserer Webserver

Mitte Januar bereiteten wir ein Seminar zum Thema "Internet" vor. Für die Veranstaltung haben wir einige unserer Webseiten auf Vordermann gemacht und die Seiten anschliessend lokal getestet.

Bei der Analyse der Logfiles sind uns anderntags merkwürdige Rechneradressen und noch merkwürdigere Seitenaufrufsversuche aufgefallen...

Unten sehen Sie einen Auszug aus unserem Webprotokoll. Der erste Eintrag ist die IP-Nummer des zugreifenden Rechners, etwas später taucht das Datum und die Uhrzeit auf, anschliessend der Zugriffspfad.



Die IP-Nummer 127.0.0.1 ist die Adresse unseres eigenen Rechners. Sie sehen, dass wir um 14.48 Uhr einige Seiten selber aufgerufen haben. Um kurz nach 15.00 Uhr tauchen plötzlich neue Protokollzeilen auf von einem fremden Rechner mit der IP-Adresse 217.129.137.55 Das ist sehr ungewöhnlich, denn der Server, der die Protokolleinträge liefert, wird von uns nur zum Testen eingesetzt. Es sollten deshalb nur Protokolleinträge mit IP-Adressen aus unserem eigenen Netzwerk auftauchen.

Mit der Datenbank von RIPE kann man ermitteln, welcher Provider dieser IP-Adresse zugeordnet ist. In diesem Fall ist es eine portugiesische Firma, ein paar Stunden später verzeichneten wir eine Attacke aus dem Iran.

Der Angreifer versuchte auf gut Glück, Lücken in unserem Betriebssystem auszuspähen und auszunutzen. In der dritten Zeile wird z.B. versucht, ein Windows-Programm im Verzeichnis c:/winnt/system32 ferngelenkt zum Ausführen zu bringen. Da alle Zugriffsversuche innerhalb von wenigen Sekunden auf unseren Server unternommen wurden, nahmen wir zunächst an, dass die Attacke mit einem eigens dafür entwickelten Programm gefahren wurde.

Kurz ge"google"t und wir erkennen in den Protokolleinträgen ein verbreitetes Angriffsmuster des schon etwas angejährten Internet-Wurms "Nimda". Dieses virenähnliche Programm nutzt u.a die Schwachstellen schlecht gewarteter Microsoft-Webserver aus. Findet es ein Loch, so installiert es sich heimlich, versucht weitere Webserver zu infizieren.

In unserem Fall musste Nimda passen, wie die erzeugten Fehlercodes 400 und 404 am Ende der Protokollseiten zeigen...


Wer's ganz genau wissen möchte: Infos zu Nimda