Bugtrack maar toch openssl-0.9.6g - Linux en overige clients

vrijdag 11 oktober 2002 15:17

Acties:

Administrator

Topicstarter

Mensen,

Ik zie in mijn apache log vrijwel iedere client request beginnen met:

127.0.0.1 - - [11/Oct/2002:15:02:52 +0200] "GET /mod_ssl:error:HTTP-request HTTP/1.0" 403 297

Maar ik hou mij redelijk aan de update schemas en heb momenteel draaien:
Apache 1.3.27
Openssl 0.9.6g
ModSSL-2.8.11-1.3.27

Ik heb dit stukje gelezen:
http://www.ciac.org/ciac/bulletins/m-125.shtml

En krijg dus ook niet die foutmeldingen van SSL Handshake failed.
Ook heb ik geen bugtrack.c oid in mijn /tmp staan.

Maar toch krijg ik iedere keer dat GET request.

Wat kan ik hieraan doen zodat ik die niet meer zie ??

[edit]
Ik krijg dus wel die SSL Handshake failed meldingen in mijn error_log.

vrijdag 11 oktober 2002 15:29

Acties:

MikeN

Wil je deze niet meer zien dan?
Dit betekent gewoon dat de worm een systeem in probeert te komen, maar dat het hem niet lukt omdat het systeem up2date is. Je kan de meldingen er eventueel uitfilteren met grep oid.

vrijdag 11 oktober 2002 15:34

Acties:

Defspace

Administrator

Topicstarter

Ik wil ze natuurlijk wel zien. Maar ik wil ze niet meer krijgen...
127.0.0.1 lijkt mij toch localhost.
(Ik weet niet of dat wormpje spoofed ?)

Maar ik krijg het vrijwel altijd als ik een pagina open. Dan begint mijn log met die melding.
Lijkt mij dan toch dat mijn systeem infected is ?

vrijdag 11 oktober 2002 15:44

Acties:

Defspace

Administrator

Topicstarter

Iets meer logfile info:

[Fri Oct 11 15:39:01 2002] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[Fri Oct 11 15:39:01 2002] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
[Fri Oct 11 15:39:01 2002] [error] access to /path/mod_ssl:error:HTTP-request failed for 127.0.0.1, reason: SSL connection required

Dit is dus misschien ook de reden waarom ik geen bugtrack.c in mijn /tmp heb staan.
Hij kan het niet verder uitvoeren omdat hij geen connectie krijgt ? (SSL connection required)

Apache get info:
Date: Fri, 11 Oct 2002 13:43:31 GMT
Server: Apache/1.3.27 (Unix) mod_ssl/2.8.11 OpenSSL/0.9.6g

vrijdag 11 oktober 2002 15:47

Acties:

Verwijderd

Er zijn ook andere versies van de apache 'slapper' worm, de bestandsnaam '.bugraq.c' is daar ook in aangepast. Kijk eens in je /tmp of er andere 'verdachte' bestanden staan. Veel van die files beginnen met een '.' dus `ls -la` gebruiken.

Je apache met die nieuwe openssl zou idd bestand tegen de worm moeten zijn. Heb je je apache wel herstart na het updaten? Weet je zeker dat apache dynamische libraries gebruikt dus niet stiekem nog de oude openssl libraries gebruikt?

Wanneer krijg je de 'openssl:error' message precies in je logfiles? Als je zelf besmet bent gaat de worm niet bij jezelf op zoek maar probeert andere webservers te besmetten.

vrijdag 11 oktober 2002 15:49

Acties:

Verwijderd

[Fri Oct 11 15:39:01 2002] [error] mod_ssl: SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)

Dit heeft niets met de worm te maken maar met je browser. Blijkbaar kent jouw browser geen SSL. Welke browser gebruik je, welke poort staat je SSL-server?

vrijdag 11 oktober 2002 16:07

Acties:

Defspace

Administrator

Topicstarter

Verwijderd schreef op 11 oktober 2002 @ 15:49:
[...]

Dit heeft niets met de worm te maken maar met je browser. Blijkbaar kent jouw browser geen SSL. Welke browser gebruik je, welke poort staat je SSL-server?

Volgens dit verhaal heeft dat wel degelijk met de bug te maken:
http://www.ciac.org/ciac/bulletins/m-125.shtml

(En dat zie ik ook in mijn logs.)
Altijd dezelfde tijd als de "GET /mod_ssl:error:HTTP-request HTTP/1.0" 403 297"
requests.

Browser is IE6.0 port is 443. (SSL doet het prima voorderest hoor

)

vrijdag 11 oktober 2002 16:52

Acties:

Verwijderd

Volgens dit verhaal heeft dat wel degelijk met de bug te maken:
http://www.ciac.org/ciac/bulletins/m-125.shtml

Wat ik niet snap is dat je eigen server zichzelf aanvalt om te kijken of ie vulnerable is. Uit het verhaal begijp ik dat 'ander' servers via poort 80 gaan kijken of er apache servers aanwezig zijn, zo ja dan wordt er een attack op apache-ssl uitgevoerd. Het scannen van andere hosts is vrij intelligent en zal daarom ook de range 127.x.x.x overslaan.

Om te kijken of je gehacked bent kan je ook kijken of er een process naar poort udp 2002 luisterd en of er verkeer tussen udp 2002 en udp 2002 is. Dat doe je door:

code:

1 2	netstat -anpA inet \| grep 2002 tcpdump -ni ethx udp src port 2002 and dst port 2002

Voor de zekerheid kan je apache even restarten (apache restart) om zeker van te zijn dat die de nieuwe openssl libraries gebruikt. Met een reboot zou je ook de worm uitschakelen, totdat je opnieuw besmet raakt natuurlijk.

vrijdag 11 oktober 2002 16:58

Acties:

Defspace

Administrator

Topicstarter

Verwijderd schreef op 11 oktober 2002 @ 16:52:
[...]

Om te kijken of je gehacked bent kan je ook kijken of er een process naar poort udp 2002 luisterd en of er verkeer tussen udp 2002 en udp 2002 is. Dat doe je door:
code:
1
2
netstat -anpA inet | grep 2002
tcpdump -ni ethx udp src port 2002 and dst port 2002
Voor de zekerheid kan je apache even restarten (apache restart) om zeker van te zijn dat die de nieuwe openssl libraries gebruikt. Met een reboot zou je ook de worm uitschakelen, totdat je opnieuw besmet raakt natuurlijk.

Netstat en tcpdump leveren allebei niets op.
Ipchains is overigens ook redelijk aggressief geconfigged

Ik heb de hele boel al gerestart e.d. maar geen oplossing.
Ik ben nu bezig met de boel opnieuw aan het compilen met binaries van mijn test server welke niet besmet blijkt te zijn (zou exact hetzelfde moeten zijn)
Ik laat het wel weten.

Pagina: 1

Reageer