---

Hej
Jeg har en hjemmeside http://papahjerting.dk kørende på min egen
server. Jeg har ingen særlige sikkerhedsforanstaltninger ud over
Antivirus. Har haft zonealarm på, men det var lidt bøvlet i forhold
til nogle andre programmer. Der sker såmænd heller ikke den helt store
skade hvis min side bliver bombet ned men.....

Jeg har i min logfil lagt mærke til følgende opkald som er typisk. Er
der nogen som kan sige mig hvad det betyder og hvad kan vedkommende
evt. finde på?

>2003-02-04 16:48:46 80.161.113.207 - GET /scripts/root.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:48:49 80.161.113.207 - GET /MSADC/root.exe 403 4227 HTTP/1.0 - -
>2003-02-04 16:48:52 80.161.113.207 - GET /c/winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:48:54 80.161.113.207 - GET /d/winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:48:57 80.161.113.207 - GET /scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:48:59 80.161.113.207 - GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:49:01 80.161.113.207 - GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:49:04 80.161.113.207 - GET /msadc/..%5c../..%5c../..%5c/..Á ../..Á ../..Á ../winnt/system32/cmd.exe 403 4227 HTTP/1.0 - -
>2003-02-04 16:49:07 80.161.113.207 - GET /scripts/..Á ../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:49:09 80.161.113.207 - GET /scripts/winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:49:12 80.161.113.207 - GET /winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:49:15 80.161.113.207 - GET /winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:49:17 80.161.113.207 - GET /scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:49:20 80.161.113.207 - GET /scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:49:22 80.161.113.207 - GET /scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:49:24 80.161.113.207 - GET /scripts/..%2f../winnt/system32/cmd.exe 500 0 HTTP/1.0


Med venlig hilsen
Paul

---

"Paul Palludan" <papa@esenet.dk> skrev i en meddelelse
news:3fvv3vc8tutnme1m231t9ll9mj50hqmaou@4ax.com...
> Hej
> Jeg har en hjemmeside http://papahjerting.dk kørende på min egen

Det betyder blot at 80.161.113.207 er ramt af en virus/orm, som forsøger at
sprede sig derfra.

Min egen reaktion plejer at være at skå vedkommendes ISP op, og bede dem
gøre deres kunde opmærksom på problemet. Ikke en klage, blot en venlighed.

Timo
http://www.mlm-life.com

---

Paul Palludan <papa@esenet.dk> wrote:

>>2003-02-04 16:48:46 80.161.113.207 - GET /scripts/root.exe 404 4184 HTTP/1.0 - -
>>2003-02-04 16:48:49 80.161.113.207 - GET /MSADC/root.exe 403 4227 HTTP/1.0 - -
>>2003-02-04 16:48:52 80.161.113.207 - GET /c/winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -

Det er Nimda (eller noget i den stil). IP-adressen tilhører ikke en
hacker, men et offer med en inficeret maskine.

Hvis din IIS er nogenlunde up-to-date med sikkerhedsrettelser har du
ikke noget problem. Ellers har du.

Søg evt. efter "Nimda" på Google for at få detaljer om hvad den gør.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Du har haft besøg af nimda virusen, og du skal som fortalt have opdateret
din W2K med IIS Lockdown tools og security patch eller har du et seriøst
problem da du vil blive spræng brædt til andre med dig som afsender.

"Paul Palludan" <papa@esenet.dk> skrev i en meddelelse
news:3fvv3vc8tutnme1m231t9ll9mj50hqmaou@4ax.com...
> Hej
> Jeg har en hjemmeside http://papahjerting.dk kørende på min egen
> server. Jeg har ingen særlige sikkerhedsforanstaltninger ud over
> Antivirus. Har haft zonealarm på, men det var lidt bøvlet i forhold
> til nogle andre programmer. Der sker såmænd heller ikke den helt store
> skade hvis min side bliver bombet ned men.....
>
> Jeg har i min logfil lagt mærke til følgende opkald som er typisk. Er
> der nogen som kan sige mig hvad det betyder og hvad kan vedkommende
> evt. finde på?
>
> >2003-02-04 16:48:46 80.161.113.207 - GET /scripts/root.exe 404 4184
HTTP/1.0 - -
> >2003-02-04 16:48:49 80.161.113.207 - GET /MSADC/root.exe 403 4227
HTTP/1.0 - -
> >2003-02-04 16:48:52 80.161.113.207 - GET /c/winnt/system32/cmd.exe 404
4184 HTTP/1.0 - -
> >2003-02-04 16:48:54 80.161.113.207 - GET /d/winnt/system32/cmd.exe 404
4184 HTTP/1.0 - -
> >2003-02-04 16:48:57 80.161.113.207 - GET
/scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:48:59 80.161.113.207 - GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:49:01 80.161.113.207 - GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404 4184
HTTP/1.0 - -
> >2003-02-04 16:49:04 80.161.113.207 - GET /msadc/..%5c../..%5c../..%5c/..Á
.../..Á ../..Á ../winnt/system32/cmd.exe 403 4227 HTTP/1.0 - -
> >2003-02-04 16:49:07 80.161.113.207 - GET /scripts/..Á
.../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:49:09 80.161.113.207 - GET /scripts/winnt/system32/cmd.exe
404 4184 HTTP/1.0 - -
> >2003-02-04 16:49:12 80.161.113.207 - GET /winnt/system32/cmd.exe 404 4184
HTTP/1.0 - -
> >2003-02-04 16:49:15 80.161.113.207 - GET /winnt/system32/cmd.exe 404 4184
HTTP/1.0 - -
> >2003-02-04 16:49:17 80.161.113.207 - GET
/scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:49:20 80.161.113.207 - GET
/scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:49:22 80.161.113.207 - GET
/scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:49:24 80.161.113.207 - GET
/scripts/..%2f../winnt/system32/cmd.exe 500 0 HTTP/1.0
>
>
> Med venlig hilsen
> Paul

---

Tusind tak for info.
Venlig hilsen Paul

---

Paul Palludan skrev bl.a.:
> Jeg har i min logfil lagt mærke til følgende opkald som er
> typisk. Er
> der nogen som kan sige mig hvad det betyder og hvad kan
> vedkommende
> evt. finde på?
>
Det er en teledanmark kunde.
0x50a171cf.naenxx7.adsl-dhcp.tele.dk.

abuse@post.tele.dk



--
Med venlig hilsen
Lars Raaby