Kandu.dk - http: Er der en fremling der kan styre min maskine nu?


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

http: Er der en fremling der kan styre min~
Fra : Kim

Dato : 26-04-04 21:33

Hej, jeg er ved at bygge en hjemmeside op og har installeret
en web server på min WinXP, i min log så jeg en finurlig ting:

194.204.130.81 - - [26/Apr/2004:02:53:39 +0100] "GET
/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 400 225 "" ""

Er der en der kan styrer min maskine nu, eller hva'?
[på "whois" eksisterer ip'en ikke, måske en super spoofer?]

Mvh. Kim (håber det er det rigtige sted jeg har postet).

Simon Lyngshede (26-04-2004)

Kommentar
Fra : Simon Lyngshede

Dato : 26-04-04 20:44

On Mon, 26 Apr 2004 21:32:39 +0100, Kim wrote:

> Hej, jeg er ved at bygge en hjemmeside op og har installeret en web server
> på min WinXP, i min log så jeg en finurlig ting:
>
> 194.204.130.81 - - [26/Apr/2004:02:53:39 +0100] "GET
> /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 400 225 "" ""
>
> Er der en der kan styrer min maskine nu, eller hva'? [på "whois"
> eksisterer ip'en ikke, måske en super spoofer?]
>
> Mvh. Kim (håber det er det rigtige sted jeg har postet).

Hvis din maskiner ellers er opdateret ville jeg ikke bekymre mig meget om
det. Det er et standard Nimbda eller Code Red angreb, Ja der er faktisk
nogle fjolser der stadig har disse old gamle virus'er. Mine log filer er
også fyldt med dem.

Hvis du har en ny og patchet IIS, så behøver du ikke bekymre dig
yderligere, det er lidt irriterende, men ikke alvorligt.

--
Simon

Kasper Dupont (26-04-2004)

Kommentar
Fra : Kasper Dupont

Dato : 26-04-04 21:29

Kim wrote:
>
> Hej, jeg er ved at bygge en hjemmeside op og har installeret
> en web server på min WinXP, i min log så jeg en finurlig ting:
>
> 194.204.130.81 - - [26/Apr/2004:02:53:39 +0100] "GET
> /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 400 225 "" ""

Nimda.

>
> Er der en der kan styrer min maskine nu, eller hva'?

Hvis du har valgt apache som din webserver så har du
ingen grund til bekymring. Kører du derimod med en
gammel udgave af IIS er din maskine måske allerede
inficeret.

> [på "whois" eksisterer ip'en ikke,

Jo:

[kasperd@erwin:pts/4 Meget forvirret

] whois 194.204.130.81
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 194.204.130.0 - 194.204.130.255
netname: TPNET
descr: Commercial IP network of Polish Telecom
country: PL
[...]

> måske en super spoofer?]

Næppe. Det er stadig ikke nemt at spoofe en TCP
forbindelse (selvom det med lidt held kan være
muligt).

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

Niels Callesøe (26-04-2004)

Kommentar
Fra : Niels Callesøe

Dato : 26-04-04 22:58

Kim wrote in <news:408d63a9$0$5938$d40e179e@nntp03.dk.telia.net>:

> Hej, jeg er ved at bygge en hjemmeside op og har installeret
> en web server på min WinXP, i min log så jeg en finurlig ting:
>
> 194.204.130.81 - - [26/Apr/2004:02:53:39 +0100] "GET
> /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 400 225 "" ""

Som Kasper sagde, det er Nimda. Med andre ord: det er baggrundsstøj.
Dem, og andre exploit attempts, kommer du til at se mange flere af. Som
du kan se, har din server svaret med en "400: Bad request". Det sker
der ikke noget ved. I øvrigt er det et IIS exploit, som din Apache ikke
hverken er eller har været sårbar overfor.

Ignorer dem, og spis noget af den mørke.

> Er der en der kan styrer min maskine nu, eller hva'?

Nej.

> [på "whois" eksisterer ip'en ikke, måske en super spoofer?]

Alle addresser kan slås op (selvom ikke alle kan routes). Se Kaspers
svar.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

Kim (27-04-2004)

Kommentar
Fra : Kim

Dato : 27-04-04 02:00

Tusind tak for jeres svar, så kan jeg tage det roligt igen.
Mvh. Kim

"Kim" <none@replyable.com> wrote in message
news:408d63a9$0$5938$d40e179e@nntp03.dk.telia.net...
> Hej, jeg er ved at bygge en hjemmeside op og har installeret
> en web server på min WinXP, i min log så jeg en finurlig ting:
>
> 194.204.130.81 - - [26/Apr/2004:02:53:39 +0100] "GET
> /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 400 225 "" ""
>
> Er der en der kan styrer min maskine nu, eller hva'?
> [på "whois" eksisterer ip'en ikke, måske en super spoofer?]
>
> Mvh. Kim (håber det er det rigtige sted jeg har postet).
>
>

Søg

Reklame

Statistik

Spørgsmål :	177548
Tips :	31968
Nyheder :	719565
Indlæg :	6408799
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste