|
|
 | Apatche Hack ?
Fra : Jan Mølgaard |
Dato : 12-08-02 14:31 |
|
Jeg har sat en lille Linux web server op, efter ca. et døgn indeholder "
access_log" følgende. Hvilket jeg finder meget mistænkeligt.
-------access_log-------
80.197.34.188 - - [12/Aug/2002:14:38:20 +0200] "GET /scripts/root.exe?/c+dir
HTTP/1.0" 404 287
80.197.34.188 - - [12/Aug/2002:14:38:21 +0200] "GET /MSADC/root.exe?/c+dir
HTTP/1.0" 404 285
80.197.34.188 - - [12/Aug/2002:14:38:21 +0200] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
---------------------
Bør jeg være nervøs ?
MVH
Jan
| |
 Martin Dalum (12-08-2002)
| Kommentar
Fra : Martin Dalum |
Dato : 12-08-02 14:40 |
|
"Jan Mølgaard" <jm@hexdata.dk> writes:
> Jeg har sat en lille Linux web server op, efter ca. et døgn indeholder "
> access_log" følgende. Hvilket jeg finder meget mistænkeligt.
>
> -------access_log-------
>
> 80.197.34.188 - - [12/Aug/2002:14:38:20 +0200] "GET /scripts/root.exe?/c+dir
> HTTP/1.0" 404 287
> 80.197.34.188 - - [12/Aug/2002:14:38:21 +0200] "GET /MSADC/root.exe?/c+dir
> HTTP/1.0" 404 285
> 80.197.34.188 - - [12/Aug/2002:14:38:21 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
> ---------------------
>
> Bør jeg være nervøs ?
Nej.. Det du ser er en virus der forsøger at finde kendte bagdøre i
Microsoft's webserver IIS. Jeg kan ikke lige huske hvad virusen
hedder, men det er ca. et år siden at den "kom på markedet". Det er
ufatteligt at folk ikke har fået patchet og cleanet deres servere
endnu! Virusen scanner tilfældige IP'er for at finde andre servere at
inficere.
--
Venlig hilsen / Regards from,
Martin Dalum
| |
TH (12-08-2002)
| Kommentar
Fra : TH |
Dato : 12-08-02 16:34 |
|
Hej,
> Jeg kan ikke lige huske hvad virusen hedder
Er det ikke Code Red?
/TH
| |
 Rasmus Bøg Hansen (12-08-2002)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 12-08-02 16:54 |
|
TH wrote:
>> Jeg kan ikke lige huske hvad virusen hedder
>
> Er det ikke Code Red?
Jo, det er vist rigtigt - selvom jeg ikke er helt sikker på, hvordan man
kender forskel på den og nimda. Iøvrigt ser den - ifølge de postede
logfiler - efter to filer kaldet root.exe og cmd.exe. Det i sig selv giver
da en ret god indikation af at det næppe er et problem i apache under
Linux.
Google fortæller ellers ret hurtigt, at der ikke er grund til bekymring...
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I was going to compile a list of innovations that could be
attributed to Microsoft. Once I realized that Ctrl-Alt-Del
was handled in the BIOS, I found that there aren't any.
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Adam Sjøgren (12-08-2002)
| Kommentar
Fra : Adam Sjøgren |
Dato : 12-08-02 15:13 |
|
On Mon, 12 Aug 2002 15:31:05 +0200, Jan Mølgaard wrote:
> 80.197.34.188 - - [12/Aug/2002:14:38:21 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
> Bør jeg være nervøs ?
Kun hvis 80.197.34.188 er Windows-maskine du ejer.
Mvh.
--
"Så ruller domino-effekten. Adam Sjøgren
Du kender det selv!" asjo@koldfront.dk
| |
|
|