ubuntuusers.de

hi,
ich hab bei mir seit ner zeit aus spaß n webserver (apache) laufen und mir ne dyndns besorgt. seitdem bekomm ich (laut log) von diversen Rechnern die anfrage OPTIONS * HTTP/1.1. was hat das genau zu bedeuten, wass wollen die usw. kennt sich da jemand aus.

danke
treaki
ps ich hab n bischen reingegugt sind überall in europa verteilt (keiner auf n anderen kontinent o doch einer auf ostralien) einer war down die anderen ham meist ne firewall einer hat lauter windows-ports (mehr als sonst) offen.

Im Zweifelsfall in die RFC gucken 😉
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.2

The OPTIONS method represents a request for information about the communication options available on the request/response chain identified by the Request-URI. This method allows the client to determine the options and/or requirements associated with a resource, or the capabilities of a server, without implying a resource action or initiating a resource retrieval.
[...]
If the Request-URI is an asterisk ("*"), the OPTIONS request is intended to apply to the server in general rather than to a specific resource.

So wie ich das lese also eine Anfrage über die möglichen Request/Response Möglichkeiten (Kann der Server Datenkompression, welchen Sprachteil unterstützt er etc.)

danke, und hat jemand ne arnung wie die so schnell an meine adresse gekommen sind?

Die Adresse ist wohl in einen Portscan geraten, und würde dann in den Dyndns-Hostnamen aufgelöst. Die OPTIONS Requests sind wohl Teil eines Service-Scans, mit dem Version, Konfiguration und installierten Webanwendungen des Apache-Dämons herausgefunden werden sollen. Die Tatsache, dass das mehrere verschiedene (Windows)-Rechner sind, spricht für ein Botnetz, dass sich neue Opfer sucht.

Du solltest in dich gehen und überlegen, ob du der Aufgabe, einen öffentlich verfügbaren Webserver zu administrieren, wirklich gewachsen bist. Im Gegensatz zu Desktop-Computern gilt bei Servern nämlich nicht, dass Linux per se "sicher" ist.

Im Gegenteil, Linux-Rootserver sind bei Kriminellen sehr beliebt als Kontrollrechner für Botnetze, da sie unter einer öftenlichen, festen Adresse erreichbar sind und in der Regel 24/7 laufen. Zudem ist das Rooten (also das Übernehmen) eines Webservers mitunter sehr leicht, weil es tausende unsicherer Webanwendungen gibt und die wenigsten "Hobby-Admins" Ahnung haben (nichts für ungut). Solche gekaperten Server werden dann auch gerne als Warez-Server für alle möglichen Arten illegaler Dateien darunter auch strafbare Inhalte wie rechtsextremistisches oder kinderpornographisches Material) oder als Spamschleuder genutzt.

Ich rate dir, den Server von Netz zu nehmen, da mich deine Aussage "nur zum Spaß" vermuten lässt, dass du keine Ahnung hast, welche Verantwortung da jetzt auf dir lastet und dein letztes Posting mich zu der Annahme verleitet, dass du dir über die Bedrohungsszenarien keinesfalls im Klaren bist. Überspitzt gesagt, die Staatsanwaltschaft klingelt bei dir und nicht beim Cracker 😉

und wie ist die adresse in den portscanner gekommen, ich hab sie nimanden gegeben. hat dyndns sie vileicht weitergegeben??

Also dass IPs geprobed werden ist nun weiß gott nichts ungewöhnliches. Wenn man nur seine Wunschkriterien eng genug setzt (schlampiger Provider, europäischer Raum, möglichst viele Privatrechner mit dicker Anbindung etc.) schlankt sich der IP Bereich für Zielrechner doch recht schnell auf ein paar 100.000 IPs runter, und die werden einfach gemütlich durchprobiert. In Zeiten von Botnetzen kostet das einem irgendwann auch kaum mehr eigene Leistung 😉. Großartig langwierig wird der Scan auch nicht, schließlich muss man nur ein paar dutzend Trojaner/Backports durchgehen und danach noch den Standard FTP/HTTP auf dynamischer IP Adresse. Wenn dein System dann noch in eine Schiene passt, die halbwegs leicht zu scripthacken ist (zB. ältere Distributionen mit mangelnden oder nicht vorhandenen Updatesupport) kommt vielleicht noch etwas mehr als nen OPTIONS rein. Oder es hat sich einfach jemand verirrt, weil deine IP vorher $Hobbyprovider$ gehört hat.
Letztendlich machst du aber irgendwie den Eindruck, als ob du dich sicher fühlst, weil keiner die "geheime IP" kennen sollte. Wenn dem so ist, seit gewarnt, das hat mit Sicherheit nichts zu tun.

treaki hat geschrieben:

und wie ist die adresse in den portscanner gekommen, ich hab sie nimanden gegeben. hat dyndns sie vileicht weitergegeben??

IP-Adressen sind nicht geheim, im Gegenteil, der Sinn einer "öffentlichen" IP ist nun mal eben, dass sie *öffentlich* zugänglich ist. Automatisierte Scans der Subnetze großer Provider sind nun weiß Gott nichts Neues mehr, sondern gehören zum täglichen Grundrauschen im Internet. Portscans sind quasi die "kosmische Hintergrundstrahlung" des Internets 😉

Ich habe mehr und mehr das Gefühl, dass weder Wissen noch Fähigkeiten besitzt, um einen *öffentlich* zugänglichen Webserver sicher zu administrieren. Ich kann meinen Rat, diesen abzuschalten, nur eindringlich wiederholen, du scheinst mir dieser Aufgabe in keiner Hinsicht gewachsen zu sein, da dir offenbar weder die Natur von IP-Adressen bekannt ist noch die Tatsache automatisierter Service-Scans. Nichts für ungut, ich spreche nur in deinem Interesse.

und wo kann ich das lärnen, gibts da ne anleitung??

Soetwas lernt man indem man sich die Grundlagen aneignet (Kann ein paar Jahre dauern), möglichst in ein Administrationsteam eingebunden ein paar Jahre Praxis aufbaut, und dann nicht aufhört weiterzulernen. Je nach angebotenen Dienst wäre eine gute juristische Vorbildung auch nicht nachteilig 😈 . Nein ernsthaft. Netzwerkadministration ist eine komplexe, filigrane und häufig eben auch gefährliche Geschichte. Sobald du anfängst Dienste ins Internet zu streuen rufst du die Aufmerksamkeit niederer Kreaturen hervor, die nur darauf warten wiedermal einen schlecht geschützten Server außeinanderzunehmen. Da muss man viel Erfahrung und Zeit mitbringen, und deine Frage weisst darauf hin, dass du die einfach noch nicht hast.
Irgendwann, und vermutlich recht schnell läuft das darauf hinaus, dass man ssh mit nem weichen Passwort ins Netzwerk lässt, oder sein ersten PHP Script mit unsicherer Formulareingabe in die Öffentlichkeit trägt, oder wichtige Sicherheitspatches auslässt, weil man das System mit neuen Versionen nicht stabil kriegt, oder einfach nur nicht mitbekommt, dass Dienst $XYZ$ zur Zeit angreifbar ist, weil eine schlimme Sicherheitslücke gefunden wurde, die noch nicht gepatched wurde.
Wenn du Apache eh nur "aus Spaß" betreiben willst, würde ich dir raten den Zugriff aus dem WAN generell zu verbieten. Für öffentlich erreichbare Seiten bekommst du inzwischen an jeder Ecke für ein paar Euros einen von Profis administrierten Server. Dann ist wenigstens der Unterbau halbwegs sicher.

Die sichere Administration eines öffentlichen Webservers erfordert viel Wissen um Netzwerke, Betriebssysteme, Programmierung und Sicherheit. Dieses Wissen lernt man nicht mal eben so, dieses Wissen erarbeitet man, in dem man viele Bücher, RFCs, Papers, etc liest und praktische Erfahrung aufbaut. Das dauert Monate, wenn nicht Jahre. Gute Administratoren werden nicht umsonst gut bezahlt.

Ich möchte dir nicht zu nahe treten, fühle dich also bitte nicht angegriffen, aber ich denke angesichts des Wissens, welches du hier offenbart hast, dass du den Gedanken an deinen eigenen Webserver allerfrühestens in einem Jahr wieder aufnehmen solltest. Dazwischen steht viel Lektüre und viele Experimente am eigenen Rechner im eigenen Netz, ohne Gefahren von außen. Nichts für ungut, entschuldige die harten Worte, aber so sehe ich die Sache halt ...