/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
winnt/system32/cmd.exe angreb - Nimda?
Fra : Klaus Jensen


Dato : 17-09-02 10:07

Hej

Jeg har en webserver kørenede hjemme, som får en del angreb i hovedet flere
gange dagligt. Jeg kunne bare ignorere det, men jeg studsede over de IP'er,
der angriber mig...:

2002-09-16 20:51:33 131.164.xxx.xxx GET /scripts/winnt/system32/cmd.exe
/c+dir 80 - 131.164.247.96 - - 404 0 2357 97
2002-09-16 20:51:33 131.164.xxx.xxx GET /scripts/..../winnt/system32/cmd.exe
/c+dir 80 - 131.164.247.96 - - 404 0 2357 97
2002-09-16 20:51:33 131.164.xxx.xxx GET /scripts/..../winnt/system32/cmd.exe
/c+dir 80 - 131.164.247.96 - - 404 0 2357 97
2002-09-16 20:51:34 131.164.xxx.xxx GET
/scripts/..%5c../winnt/system32/cmd.exe /c+dir 80 - 131.164.247.96 - - 404 0
2357 100
2002-09-16 20:51:34 131.164.xxx.xxx GET
/scripts/..%2f../winnt/system32/cmd.exe /c+dir 80 - 131.164.247.96 - - 404 0
2357 96

Det er ip-adressen 131.164.247.96 der er synderen. Jeg studser over den
ligner min egen fra TDC (ADSL) ret meget. Jeg er blevet angrebet fra 6-7
forskellige IP-adresser de sidste 3-4 dage, og hver gang er det fra en ip
adresse der begynder med 131.164....

Er der andre med IIS-webservere, der oplever disse angreb? Er det en TDC
kunde, der angriber mig? Bør jeg gøre noget ved det ud over at ignorere det?

Update lige før post: Jeg søgte lidt på det og det ser ud til at være
NIMDA-angreb?

- Klaus



 
 
Christian Andersen (17-09-2002)
Kommentar
Fra : Christian Andersen


Dato : 17-09-02 10:12

Klaus Jensen wrote:

> Det er ip-adressen 131.164.247.96 der er synderen. Jeg studser over den
> ligner min egen fra TDC (ADSL) ret meget. Jeg er blevet angrebet fra 6-7
> forskellige IP-adresser de sidste 3-4 dage, og hver gang er det fra en ip
> adresse der begynder med 131.164....

Ja, NIMDA har en forkærlighed for IP-adresser der ligger tæt på dens
"egen".

Muligvis for at kunne sprede sig endnu hurtigere på lokalnetværk, dvs.
virksomheder. Men det er kun et gæt.

> Update lige før post: Jeg søgte lidt på det og det ser ud til at være
> NIMDA-angreb?

Lidt research før posting er godt.

--
..signature

Kim Ludvigsen (17-09-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 17-09-02 10:28

Klaus Jensen wrote:
>
>
> Jeg har en webserver kørenede hjemme, som får en del angreb i hovedet flere
> gange dagligt. Jeg kunne bare ignorere det, men jeg studsede over de IP'er,
> der angriber mig...:
>
> Det er ip-adressen xxx.xxx.xx.xx der er synderen. Jeg studser over den
> ligner min egen fra TDC (ADSL) ret meget. Jeg er blevet angrebet fra 6-7

Det er Nimda. Du vil sikkert også få angreb i stil med:
GET /default.ida?NNNNNNNNNNNNNNNNN (og så en hel masse flere N'er og
andre tegn til sidst). Det er Code Red.

Du kan benytte et værktøj som http://www.geektools.com/cgi-bin/proxy.cgi
til at finde frem til udbyderen og en klageadresse. Skriv, og fortæl, at
en af deres kunder er blevet inficeret med Nimda/Code Red og klistr den
pågældende del af din log-fil ind i mailen. De fleste udbydere vil så
kontakte kunden og informere dem om, at de er blevet inficeret.


--
Mvh. Kim Ludvigsen

Ken Madsen (26-09-2002)
Kommentar
Fra : Ken Madsen


Dato : 26-09-02 07:24

Jeg er bare nysgerrig,

Hvis man skriver til deres udbyder, kontakter de så virkelig kunden, hvor
lang tid går der inden de gør det. Jeg har en masse af de samme angreb, og
de fylder af h... til i loggen.

hvordan finder udbyderen ud af at kunden fjerner kilden til problemmet, det
kan jo være det ikke er en nørd der sidder i den anden ende og ikke ved hvad
han/hun skal gøre ved det!

Jeg har ikke ville skrive til udbyderen før da det er mellem 5 og 15
forskellige ipadresser pr. dag og det virker som en uoverkommelig opgave,
hvis man er ene om det. Jeg aner ikke hvor mange andre der anmelder disse
angreb.

ps. Jeg har lige prøvet at skrive til en udbyder, så det kan være jeg selv
kan besvare spørgsmålet snart

Mvh Ken Madsen



"Kim Ludvigsen" <ludvig@mail.dk> wrote in message
news:3D86F5A7.56E0@mail.dk...
> Klaus Jensen wrote:
> >
> >
> > Jeg har en webserver kørenede hjemme, som får en del angreb i hovedet
flere
> > gange dagligt. Jeg kunne bare ignorere det, men jeg studsede over de
IP'er,
> > der angriber mig...:
> >
> > Det er ip-adressen xxx.xxx.xx.xx der er synderen. Jeg studser over den
> > ligner min egen fra TDC (ADSL) ret meget. Jeg er blevet angrebet fra 6-7
>
> Det er Nimda. Du vil sikkert også få angreb i stil med:
> GET /default.ida?NNNNNNNNNNNNNNNNN (og så en hel masse flere N'er og
> andre tegn til sidst). Det er Code Red.
>
> Du kan benytte et værktøj som http://www.geektools.com/cgi-bin/proxy.cgi
> til at finde frem til udbyderen og en klageadresse. Skriv, og fortæl, at
> en af deres kunder er blevet inficeret med Nimda/Code Red og klistr den
> pågældende del af din log-fil ind i mailen. De fleste udbydere vil så
> kontakte kunden og informere dem om, at de er blevet inficeret.
>
>
> --
> Mvh. Kim Ludvigsen



Kim Ludvigsen (26-09-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 26-09-02 07:46

Ken Madsen wrote:
>
>
> Hvis man skriver til deres udbyder, kontakter de så virkelig kunden, hvor
> lang tid går der inden de gør det. Jeg har en masse af de samme angreb, og
> de fylder af h... til i loggen.

Jeg skal ikke kunne sige, om de alle kontakter den inficerede kunde. Jeg
har enkelte gange fået svar fra udenlandske udbydere, og i en tråd her i
gruppen har vi fået oplyst, at TDC altid kontakter kunden. Hvor hurtigt
det går, skal jeg ikke kunne sige, men jeg mindes ikke at have oplevet
angreb fra den samme IP-adresse med flere dages mellemrum.

Når du svarer på indlæg, må du meget gerne benytte den normale
citatteknik, det vil sige, klip det du ikke svarer på væk, og svar under
det citerede. Så bliver det meget nemmere at læse indlæggene.

--
Mvh. Kim Ludvigsen

Peder Vendelbo Mikke~ (17-09-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 17-09-02 23:43

Klaus Jensen skrev:

> Update lige før post: Jeg søgte lidt på det og det ser ud til at være
> NIMDA-angreb?

Urlscan er et filter der kan opsættes "foran" IIS, til at filtrere
hvilke URLs der sendes videre til IIS:

<URL: http://www.microsoft.com/technet/security/URLScan.asp >

Det har også den behagelige sideeffekt, at forsøgene på at inficere dig
bliver kastet over i en seperat logfil og derefter måske ikke ødelægger
noget logning/charting du laver nu.

Det kan ikke anbefales at installere programmet, hvis man ikke har
tænkt sig at læse dokumentationen.

Find eventuelt flere værktøjer fra MS:

<URL: http://www.microsoft.com/technet/security/tools/tools.asp >
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >


Søg
Reklame
Statistik
Spørgsmål : 177549
Tips : 31968
Nyheder : 719565
Indlæg : 6408820
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste