Home » Computer Probleme, Hilfe & Technik Forum » Bei unbekannten werde ich auf meinen eigenen webserver geleitet » Themenansicht
Bei unbekannten werde ich auf meinen eigenen webserver geleitet |
||
|---|---|---|
| #0
| ||
|
08.09.2010, 16:01
...neu hier
Beiträge: 9 |
||
 
|
|
|
|
08.09.2010, 16:17
Member
 Beiträge: 5291 |
#2
Zitat Ich muss dazu sagen, daß ich dachte, mich gestern entrootkittet zu haben. Webserver neugemacht, und Heimrechner neugemacht.Das wäre gar nicht nötig gewesen, rootkits sind für Linux so rar - sofern du eine halbwegs aktuelle Distribution fährst benutzt du ja eh keine 3rd party Pakete. Zitat Auf meinem Heimrechner (F 13) laufen keine serverdiensteGib doch einfach mal ein paar Auszüge aus der Shell für folgende Befehle: netstat -tl host encrypted.google.de cat /etc/resolv.conf cat /etc/hosts Zitat Wie gesagt, ich bin etwas verwundert, wie mein Heimrechner überhaupt darauf kommt, die server ip aufzuschlagen, wenn er vom dns nix kriegt.Ich denke da ist was falsch konfiguriert. Benutzt du irgendwelche Proxies oder ähnliches (TOR etc.)? Ich war mal so frei dein Server bissl zu scannen - 85.31.186.50 <- das ist er ja? Hast du eine v4 range? Der reverse entry ist 85-31-186-50.euserv.net aber der forward entry dafür wiederum steht auf 85.31.185.122. Für diese IP gibt es wiederum einen reverse für skynet3.web.kundencontroller.de. Leicht seltsame Konfiguration? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
08.09.2010, 16:39
...neu hier
Themenstarter Beiträge: 9 |
#3
Ich benutze weder TOR, noch andere porxys oder vpn...
Ja der ist es. Ich habe keine IPrange. Reverse einträge habe ich da noch nicht angelegt/bearbeitet, kommt vom hoster. Das Problem ist, daß mein Heimserver bei unaufgelösten Anfragen den webserver resolved. Vom Heimrechner war das hier... Zitat netstat -tlZu meiner rootkit-Vermutung muss ich sagen, daß es wohl gestern ein false-positive meinerseits war, aber im Kundencenter-trafficgraph stand ne Menge traffic, da war ich aufgeregt wie n Hühnchen. Nachdem ich dann alles zerschruppt habe(webserver neu, Heimrechner neu) habe ich mir den graph nochmal etwas unaufgeregter angesehen, und gemerkt, daß der traffic nur inbound war. Aber zu meiner Verteidigung muss ich sagen, das auch der rkhunter(ich weiss er soll ja sehr empfindlich sein) mir mit einigen /dev/ Warnungen und einigen Prozessen (get, wget...) mit falscher Signatur irgendwie ja irgendwie auch dazu geraten hat. Ausserdem hatte ich viele offene Verbindungen zu Amazon Webservices(amazonAWS.net) was auf einem Desktop durch den Schei... ja noch ok wäre, aber beim webserver? Wie, ausser mit unhide kann ich denn noch verteckte Prozesse ermitteln? Danke, mOIsel PS.: Es passiert nicht nur bei encrypted.google.de, sondern überall, wo es keinen DNS Eintrag zu gibt, also auch bei 438zct57z45ub3ro487.xy... Ich poste gleich mal noch die logs vom webserver, nachm rauchen. Dieser Beitrag wurde am 08.09.2010 um 16:47 Uhr von marzlmOIsel editiert.
|
|
|
|
|
|
|
08.09.2010, 16:47
Member
Beiträge: 5291 |
#4
Zitat Ausserdem hatte ich viele offene Verbindungen zu Amazon Webservices(amazonAWS.net) was auf einem Desktop durch den Schei... ja noch ok wäre, aber beim webserver? Wie, ausser mit unhide kann ich denn noch verteckte Prozesse ermitteln?Es gibt keine versteckten Prozesse auf Linux. Unhide ist mir nicht bekannt - oder soll das ein Windows Webserver sein? (mir ist entgangen das lighty auf windows läuft) Zitat host encrypted.google.deSagt mir das es diese Host nicht gibt, wie kommst du dann mit deinem Browser auf dein Webserver dadurch? Ist das jetzt auch so? Während du mit deinem Browser das machst kannst du mal in einem fenster netstat -t angeben... es müßte ja eine Verbindung auf port 80 angezeigt werden. Zitat Aber zu meiner Verteidigung muss ich sagen, das auch der rkhunter(ich weiss er soll ja sehr empfindlich sein) mir mit einigen /dev/ Warnungen und einigen Prozessen (get, wget...) mit falscher Signatur irgendwie ja irgendwie auch dazu geraten hat.Ach wirklich? Welches OS (oder Linux Distribution) läuft dadrauf, welche Kernel revision? Solche Tools sind problematisch wenn man die Dinge nicht korrekt interpretieren kann... Seit wann läuft es - ist es ein neuer Server oder hast du ihn schon Jahrelang? Hmm du hast mein Teil mit den host entries ja komplett übersprungen, dabei ist die DNS Integrität ebenfalls sehr wichtig sons passieren seltsame Artefakte - ich nehme an du kannst dann dazu nichts sagen? Edit: Zitat PS.: Es passiert nicht nur bei encrypted.google.de, sondern überall, wo es keinen DNS Eintrag zu gibt, also auch bei 438zct57z45ub3ro487.xy... Ich poste gleich mal noch die logs vom webserver, nachm rauchen.Tja ich versteh es schon, aber das deutet auf falsche Konfiguration hin - damit hat dein Webserver erstmal gar nichts zu tuen. Wenn dann kommt das von deinem Router zuhause... trotzdem muss dann der host Befehl selbiges ergeben denn bevor der Browser etwas macht wird erstmal aufgelöst... oder es ist intern bei Gnome (scheinst du zu benutzen) eine falsche Konfiguration. Kannst ja mal per links oder so versuchen. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode Dieser Beitrag wurde am 08.09.2010 um 17:03 Uhr von Xeper editiert.
|
|
|
|
|
|
|
08.09.2010, 17:28
...neu hier
Themenstarter Beiträge: 9 |
#5
Zum einen gibt glaube ich auch einen Windowslighty, das ist aber nicht mein Problem und trifft auch nicht zu (da Linux). Und unhide gibt es für Linux, ebenso wie versteckte Prozesse soweit ich weiss.
Und ich komme ja eben bei jedem host den es nicht gibt auf meinen webserver raus bei netstat -t werden nur meine xmpp verbindungen angezeigt, vor, währenddessen (soweit das möglich ist), und danach kommt das hier ... Zitat netstat -tF13 ist seit gestern Nacht ganz frisch drauf, mein hostname ist wie dort steht. Er löst einfach generell meinen webserver auf, wenn er nix findet. Auch jetzt noch. Mir fällt auch eben nicht ein, warum er das tut. Ich habe mir ne neue F13 iso gezogen, und die Prüfsumme stimmte auch. Mein Heimrechner ist "nackig", da habe ich noch garnix konfiguriert. Deshalb kann ich da auch keine Konfiguration verzogen haben. Und wenn mein webserver falsch konfuguriert ist, kann doch nicht mein Heimrechner alles nichtexistente auf meine webserver ip resolven. Dazu kommt noch, daß wenn ich mich nochmal mit meinem server verbinden will(ssh), er mich wieder fragt, ob ich das Zertifikat akzeptiere. Das darf er nur einmal fragen, danach ists gespeichert und akzeptiert. Hier nochmal mein lighty-access.log Zitat 79.159.184.87 berlin-umland.net - [07/Sep/2010:13:13:51 +0200] "HEAD / HTTP/1.1" 200 0 "http://forexmacro.blogetery.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"Die logs sind von serverseite her ok. waslooft.xy war ich, ebenso, wie die ganzen anderen suspekten Anfragen. Aber warum landen die überhaupt da? |
|
|
|
|
|
|
08.09.2010, 17:36
Member
Beiträge: 5291 |
#6
Zitat Und unhide gibt es für Linux, ebenso wie versteckte Prozesse soweit ich weiss.Naja das ist trotzdem relativ wahrscheinlich, du findest es dann aber trotzdem unter /proc... aber wie gesagt dazu hab ich bis jetzt nicht mal nen Proof-Of-Concept gesehen und soweit ich weiß ist Linux im Moment recht sicher (um 2.6.32.. rum). Exploits gabs natürlich immer mal hin und wieder. Zitat Und ich komme ja eben bei jedem host den es nicht gibt auf meinen webserver raus bei netstat -t werden nur meine xmpp verbindungen angezeigt, vor, währenddessen (soweit das möglich ist), und danach kommt das hier ...Dann haste es nicht richtig erwischt, oder nur eine cached Anzeige. Benutz doch mal einen anderen webbrowser -wenn das stimmt wie du sagst müßte dich ja ssh -v encrypted.google.de zu deinem Server bringen - versuch das mal. Zitat Aber warum landen die überhaupt da?Wir arbeiten dran, aber trotzdem dein Server hat erstmal nichts damit zu tuen - ich denke nicht das es sich um ein rootkit oder ähnliches handelt. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
08.09.2010, 17:38
...neu hier
Themenstarter Beiträge: 9 |
#7
Ich bentze xfce, aber warum sollte irgendwas bei meinem Heimrechner überhaupt meine webserver ip resolven, solange es nicht um Berlin-umland.net, snoof.de oder irgendwelche domainleichen, welche mal auf der ip lagen, und eben heute noch da hinzeigen. Es gibt keinen grund für mein Heimnetzwerk, unaufgelöste domains dort hinzurouten.
Mein Heimrechner weiss ja nur vom befehl "ssh root@85.31.186.50" von dieser ip, deshalb darf er doch nichts dorthin routen, was der DNS nicht auflösen kann. |
|
|
|
|
|
|
08.09.2010, 17:41
Member
Beiträge: 5291 |
#8
Zitat Mein Heimrechner weiss ja nur vom befehl "ssh root@85.31.186.50" von dieser ip, deshalb darf er doch nichts dorthin routen, was der DNS nicht auflösen kann.Echt du machst mit root über ssh?  Aber eig wäre eine Antwort scho gut gewesen, du sollst das eben austesten und dann eben das verbose log pasten + netstat -t wo dann die verbindung angezeigt wird. Ein resolve sagte ja eben das es nicht aufgelöst wird... __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
08.09.2010, 17:46
...neu hier
Themenstarter Beiträge: 9 |
#9
Zitat ssh -v encrypted.google.deScheint normal zu sein. Mein server selber ist hier auch nicht das Problem, wie ich glaube. Hast Du jabber, denn kannst ja selber mal bei mir reinkucken. Ich brauche dann nur kurz für ne portweiterleitung, damit du am router bequem vorbeikommst. Dann kannste mir ja die peinliche Wahrheit hier im Forum posten ;P |
|
|
|
|
|
|
08.09.2010, 17:46
...neu hier
Themenstarter Beiträge: 9 |
#10
Zitat ssh -v encrypted.google.deScheint normal zu sein. Mein server selber ist hier auch nicht das Problem, wie ich glaube. Hast Du jabber, denn kannst ja selber mal bei mir reinkucken. Ich brauche dann nur kurz für ne portweiterleitung, damit du am router bequem vorbeikommst. Dann kannste mir ja die peinliche Wahrheit hier im Forum posten ;P |
|
|
|
|
|
|
08.09.2010, 17:48
Member
Beiträge: 5291 |
#11
Also ich denke mal das hat was mit deinem Webbrowser zu tuen, was nutzte?
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
08.09.2010, 17:50
...neu hier
Themenstarter Beiträge: 9 |
#12
Ich benutze Firefox auf xfce Fedora 13. Aber wie kommt dann mein browser dazu, mich dorthin zu routen? Es gibt keinen Grund für ihn
|
|
|
|
|
|
|
08.09.2010, 17:52
Member
Beiträge: 5291 |
#13
Kannste mir mal nen gefallen tuen und ~/.mozilla (oder ~/.firefox) kurz tempoär nach mozilla-xy umbenennen so das er mit ner neuen Konfiguration startet?
 __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
08.09.2010, 18:12
Member
Beiträge: 5291 |
#14
Ok scheint wohl nun gelöst zu sein, entweder lag es an der Browser config - oder wie ich denke auch an den DNS Einträgen die nun auf wundersame Weise (wohl vom Provider her) richtig konfiguriert wurden.
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich bin mir nicht ganz sicher ob ich das mit dem man-in-the-middle-prinzip überhaupt richtig interpretiere, aber kann es bei mir so ein Fall sein? Wie kommt es dann, wenn ich eine nicht existente domain eingebe, daß ich auf meinem webserver lande, wo derzeit lediglich die lighty-nodomain-page erscheint, da ja dort noch nichts läuft (hoffentlich). Mir ists jetzt erst aufgefallen, nachdem ich de statt com für die encrypted googlesuche eintippte. Ich muss dazu sagen, daß ich dachte, mich gestern entrootkittet zu haben. Webserver neugemacht, und Heimrechner neugemacht. Auf meinem Heimrechner (F 13) laufen keine serverdienste, ich war nur über ssh auf meinem webserver. Wäre nett wenn mal ein echter admin sich mal bei mir einhacken könnte und mir sagen könnte was da schief läuft. Meine IPs seht ihr ja im screenshot(webserver, Heimrechner).
Wie gesagt, ich bin etwas verwundert, wie mein Heimrechner überhaupt darauf kommt, die server ip aufzuschlagen, wenn er vom dns nix kriegt. Denn er dürfte ja die ip nur vom ssh-"clienten" kennen. Auf Rat und Tat würde ich mich sehr freuen. Danke, mOIsel