---

Hej

Jeg ser denne forespørgsel på min squid-proxy rigtig mange gange:

997087989.743 1149 xxx.xxx.xxx.xxx TCP_MISS/404 514 GET
http://yyy.yyy.yyy.yyy/LE/isapitest.dll? - DIRECT/yyy.yyy.yyy.yyy
text/html

yyy.yyy.yyy.yyy er proxyen selv (som også kører apache med nogle
MRTG-statistikker). Jeg kan regne ud, at ovenstående ikke er farligt,
da det er en linux-maskine - men hvad betyder det?

Er det blot en fejlkonfigureret klient eller er det tegn på en
sikkerhedsbrist, der søges efter?

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
There are three kinds of lies:
lies, politics and statistics.
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Den Tue, 7 Aug 2001 08:33:21 +0200 skrev Rasmus Bøg Hansen:
>Hej
>
>Jeg ser denne forespørgsel på min squid-proxy rigtig mange gange:
>
>997087989.743 1149 xxx.xxx.xxx.xxx TCP_MISS/404 514 GET
>http://yyy.yyy.yyy.yyy/LE/isapitest.dll? - DIRECT/yyy.yyy.yyy.yyy
>text/html
>
>yyy.yyy.yyy.yyy er proxyen selv (som også kører apache med nogle
>MRTG-statistikker). Jeg kan regne ud, at ovenstående ikke er farligt,
>da det er en linux-maskine - men hvad betyder det?
>
>Er det blot en fejlkonfigureret klient eller er det tegn på en
>sikkerhedsbrist, der søges efter?

I hvert fald ikke en sikkerhedsbrist hos dig selv. Jeg går ud fra at xxx
må være klienten... Det må altså være den der forsøger at connecte som
enten har ubudne gæster eller en bruger der forsøger at finde en hullet
(windows-) webserver.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

---

Kent Friis wrote:

>>997087989.743 1149 xxx.xxx.xxx.xxx TCP_MISS/404 514 GET
>>http://yyy.yyy.yyy.yyy/LE/isapitest.dll? - DIRECT/yyy.yyy.yyy.yyy
>>text/html

> I hvert fald ikke en sikkerhedsbrist hos dig selv. Jeg går ud fra at
> xxx må være klienten... Det må altså være den der forsøger at connecte
> som enten har ubudne gæster eller en bruger der forsøger at finde en
> hullet (windows-) webserver.

Så langt havde jeg gættet. Jeg spekulerede blot over, om det var et
kendt sikkerhedshul eller blot en browser, der ikke forstår transparent
proxying - eller er sat forkert op...

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
God put me on earth to accomplish a certain number of things.
Right now I am so far behind I will never die.
-Bill Waterson, Calvin and Hobbes
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> skrev i en meddelelse
news:9ko23h$127$1@carlsberg.amagerkollegiet.dk...
> Hej
>
> Jeg ser denne forespørgsel på min squid-proxy rigtig mange gange:
>
> 997087989.743 1149 xxx.xxx.xxx.xxx TCP_MISS/404 514 GET
> http://yyy.yyy.yyy.yyy/LE/isapitest.dll? - DIRECT/yyy.yyy.yyy.yyy
> text/html
>
> yyy.yyy.yyy.yyy er proxyen selv (som også kører apache med nogle
> MRTG-statistikker). Jeg kan regne ud, at ovenstående ikke er farligt,
> da det er en linux-maskine - men hvad betyder det?
>
> Er det blot en fejlkonfigureret klient eller er det tegn på en
> sikkerhedsbrist, der søges efter?

Ligner forsøg på angreb med Code Red virus.......

Jens

---

Jens wrote:
>
> "Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> skrev i en meddelelse
> > 997087989.743 1149 xxx.xxx.xxx.xxx TCP_MISS/404 514 GET
> > http://yyy.yyy.yyy.yyy/LE/isapitest.dll? - DIRECT/yyy.yyy.yyy.yyy
> > Er det blot en fejlkonfigureret klient eller er det tegn på en
> > sikkerhedsbrist, der søges efter?
>
> Ligner forsøg på angreb med Code Red virus.......
>
Nej det gør det ikke!
Code Red (og Code Red 2) vil lave en GET /default.ida?XXXXXXXXXXXXXXX...
eller GET /default.ida?NNNNNNNNNNN...
Det kan sagtens være en eller anden anden IIS orm, f.eks SAdmin ?
Jeg kender ikke muddelbart dens fingeraftryk, men Code Red har jeg
efterhånden virkelig mange af i min webservers logfiler

--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net