---

Hej,

Jeg har nu (endelig) fået min webserver / gateway op og spille på min
nyanskaffede ADSL linie (TDC Bredbånd 256/128 - bare til at starte med).
Apache på Linux naturligvis

Det der undrer mig er frekvensen af potentielle angreb på denne server. Der
er MANGE der prøver at GET'te root.exe eller cmd.exe - mindst 8-10 pr. døgn.

Der er rigtig mange fra TDC-Adsl og så en enkelt der kommer helt udefra, men
generelt er der overvældende mange fra 80.62.x.x
(X.X.Xxx1.adsl-dhcp.tele.dk) der søger at hente obskure ting på min stakkels
lille webserver.

Når man så en sjælden gang finder en med neotrace eller lignende er der med
garanti en Nimda@MM på adressen der grumt forsøger at overfalde min
web-browser.

Er det virkeligt tilfældet at SÅ mange stadig er smittet af virus uden at
gøre noget ved det? For jeg vil ikke tro at folk bevidst forsøger at tilgå
min lille server med ondt i sinde.

Hvad gør i?
Abuse@post.tele.dk eller "bare" et eller andet smart script der smider en
oplysning om problemet i hovedet på staklerne med IIS problemer?

Cheers

Niels

---

Undskyld - der manglede en emailadresse på mig i indlæget- kommer her:

ncs@pc.dk

Cheers
Niels

<ncs@news teledk> wrote in message
news:3bd44e28$0$9448$4d4eb98e@news.dk.uu.net...
> Hej,
>
> Jeg har nu (endelig) fået min webserver / gateway op og spille på min
> nyanskaffede ADSL linie (TDC Bredbånd 256/128 - bare til at starte med).
> Apache på Linux naturligvis
>
> Det der undrer mig er frekvensen af potentielle angreb på denne server.
Der
> er MANGE der prøver at GET'te root.exe eller cmd.exe - mindst 8-10 pr.
døgn.
>
> Der er rigtig mange fra TDC-Adsl og så en enkelt der kommer helt udefra,
men
> generelt er der overvældende mange fra 80.62.x.x
> (X.X.Xxx1.adsl-dhcp.tele.dk) der søger at hente obskure ting på min
stakkels
> lille webserver.
>
> Når man så en sjælden gang finder en med neotrace eller lignende er der
med
> garanti en Nimda@MM på adressen der grumt forsøger at overfalde min
> web-browser.
>
> Er det virkeligt tilfældet at SÅ mange stadig er smittet af virus uden at
> gøre noget ved det? For jeg vil ikke tro at folk bevidst forsøger at tilgå
> min lille server med ondt i sinde.
>
> Hvad gør i?
> Abuse@post.tele.dk eller "bare" et eller andet smart script der smider en
> oplysning om problemet i hovedet på staklerne med IIS problemer?
>
> Cheers
>
> Niels
>
>

---

ncs@news teledk wrote:

>Jeg har nu (endelig) fået min webserver / gateway op og spille på min
>nyanskaffede ADSL linie (TDC Bredbånd 256/128 - bare til at starte med).
>Apache på Linux naturligvis
>
>Det der undrer mig er frekvensen af potentielle angreb på denne server. Der
>er MANGE der prøver at GET'te root.exe eller cmd.exe - mindst 8-10 pr. døgn.

Det er maskiner der er inficeret med Nimda. Dem får vi alle sammen. Ignorér
dem.

Og hvis du synes 8-10 pr. døgn er mange, kan jeg da nævne at i løbet af det
første døgns tid med Nimda fik min ADSL-baserede hjemmewebserver ca. 15000
Nimda-requests. Nu det efterhånden faldet meget; men det er ikke holdt op -
der var fx ca. 600 i går.

>Hvad gør i?

Intet. Der er vistnok nogen der samler inficerede adresser op og orienterer
ejerne af de inficerede maskiner. Jeg har ikke lyst til at bruge tid på det.
Jeg ved ikke om udbyderne gør.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

ncs@news teledk writes:

> Hej,
>
> Der er rigtig mange fra TDC-Adsl og så en enkelt der kommer helt udefra, men
> generelt er der overvældende mange fra 80.62.x.x
> (X.X.Xxx1.adsl-dhcp.tele.dk) der søger at hente obskure ting på min stakkels
> lille webserver.

Whoa, du har ret - siden min Adsl kom op (for 19 dage 8 timer 22 minutter
siden) er det strømmet ind med denne type requests.

cat /var/log/httpd/www.log |grep ^80|cut -f1 -d' '|sort|uniq|wc

122!! forskellige ip adresser i 60 området - _det_ synes jeg er en pæn del

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

---

It seems Kim Petersen wrote:
>cat /var/log/httpd/www.log |grep ^80|cut -f1 -d' '|sort|uniq|wc

TDC har mange andre IP-ranges ud over 80.62.0.0/15.

--
Simon Skals <spam@gid.dk>
"Never attribute to competence what can adequately be explained by luck."

---

> Whoa, du har ret - siden min Adsl kom op (for 19 dage 8 timer 22 minutter
> siden) er det strømmet ind med denne type requests.
>
Hvor kan man se hvilke requests der kommer til ens IIS 5.0 server ?

Hilsen Vaeske

---

> Hvor kan man se hvilke requests der kommer til ens IIS 5.0 server ?

Et godt sted at starte er i log-filerne.


--
Med venlig hilsen
Kim Jensen
____________________________________________
litewerx.com // kelvin8.com // newscaster.dk

---

<ncs@news teledk> skrev i en meddelelse
news:3bd44e28$0$9448$4d4eb98e@news.dk.uu.net...
> Hej,
>
> Jeg har nu (endelig) fået min webserver / gateway op og spille på min
> nyanskaffede ADSL linie (TDC Bredbånd 256/128 - bare til at starte med).
> Apache på Linux naturligvis
>
> Det der undrer mig er frekvensen af potentielle angreb på denne server.
Der
> er MANGE der prøver at GET'te root.exe eller cmd.exe - mindst 8-10 pr.
døgn.
>
> Der er rigtig mange fra TDC-Adsl og så en enkelt der kommer helt udefra,
men
> generelt er der overvældende mange fra 80.62.x.x
> (X.X.Xxx1.adsl-dhcp.tele.dk) der søger at hente obskure ting på min
stakkels
> lille webserver.
>
> Når man så en sjælden gang finder en med neotrace eller lignende er der
med
> garanti en Nimda@MM på adressen der grumt forsøger at overfalde min
> web-browser.
>
> Er det virkeligt tilfældet at SÅ mange stadig er smittet af virus uden at
> gøre noget ved det? For jeg vil ikke tro at folk bevidst forsøger at tilgå
> min lille server med ondt i sinde.
>
> Hvad gør i?

Jeg bruger Apache... så kommer det i hvert fald ikke videre fra mig

Nils

---

I din pakke, følger Norman/TDC sikkerhedspakken... brug den..
"Nils Lastein" <nila@dsr.kvl.dk> wrote in message
news:9rjjok$i2o$1@news.net.uni-c.dk...
> <ncs@news teledk> skrev i en meddelelse
> news:3bd44e28$0$9448$4d4eb98e@news.dk.uu.net...
> > Hej,
> >
> > Jeg har nu (endelig) fået min webserver / gateway op og spille på min
> > nyanskaffede ADSL linie (TDC Bredbånd 256/128 - bare til at starte med).
> > Apache på Linux naturligvis
> >
> > Det der undrer mig er frekvensen af potentielle angreb på denne server.
> Der
> > er MANGE der prøver at GET'te root.exe eller cmd.exe - mindst 8-10 pr.
> døgn.
> >
> > Der er rigtig mange fra TDC-Adsl og så en enkelt der kommer helt udefra,
> men
> > generelt er der overvældende mange fra 80.62.x.x
> > (X.X.Xxx1.adsl-dhcp.tele.dk) der søger at hente obskure ting på min
> stakkels
> > lille webserver.
> >
> > Når man så en sjælden gang finder en med neotrace eller lignende er der
> med
> > garanti en Nimda@MM på adressen der grumt forsøger at overfalde min
> > web-browser.
> >
> > Er det virkeligt tilfældet at SÅ mange stadig er smittet af virus uden
at
> > gøre noget ved det? For jeg vil ikke tro at folk bevidst forsøger at
tilgå
> > min lille server med ondt i sinde.
> >
> > Hvad gør i?
>
> Jeg bruger Apache... så kommer det i hvert fald ikke videre fra mig
>
> Nils
>
>

---

Øhhhh - Norman/TDC på Linux???
Please advise - hvordan skulle det lige være muligt?
Prøv iøvrigt lige at læse http://www.newsbytes.com/news/01/171949.html
ang. pålideligheden af "personal firewalls".

Det jeg søger er oplysninger om hvorvidt jeg er den eneste der har lyst til
at hjælpe de stakler der - sansynligvis uvidende - hoster en Nimda@MM eller
lignende skrammel på deres IIS, samt hvordan man i givet fald kunne få fat
på dem.

Jeg ville gerne kunne sende en mail til disse mennesker om at søge hjælp til
at få deres maskiner lidt bedre sikret så jeg var fri for "støj" i mine
logfiler. Tilsyneladende er den eneste vej pt. over abuse@... - det er lidt
drastisk ligefrem at anmelde dem for forsøg på ulovlig adgang bare fordi de
er smittede med vira.

Måske en webside med deres IP adresser??? Hvis jeg var smittet uden at vide
det ville jeg i al fald gerne om der var nogen der gad advisere mig herom.

Jeg tror jeg dykker lidt i en awk kommando der kan sortere unikke IP
adresser fra min logfil og liste dem i en HTML form. Så laver jeg lige en
webside der oplyser alverden om at alle potentielt kan hoppe ind på alle de
maskiner der er listet på denne html-side da de ikke bruger beskyttelse

Mon ikke det ville blive en velbesøgt side?

/NCS

"Steen" <stonehenge@nospam.dk> wrote in message
news:3be79bfe$0$240$edfadb0f@dspool01.news.tele.dk...
> I din pakke, følger Norman/TDC sikkerhedspakken... brug den..
> "Nils Lastein" <nila@dsr.kvl.dk> wrote in message
> news:9rjjok$i2o$1@news.net.uni-c.dk...
> > <ncs@news teledk> skrev i en meddelelse
> > news:3bd44e28$0$9448$4d4eb98e@news.dk.uu.net...
> > > Hej,
> > >
> > > Jeg har nu (endelig) fået min webserver / gateway op og spille på min
> > > nyanskaffede ADSL linie (TDC Bredbånd 256/128 - bare til at starte
med).
> > > Apache på Linux naturligvis
> > >
> > > Det der undrer mig er frekvensen af potentielle angreb på denne
server.
> > Der
> > > er MANGE der prøver at GET'te root.exe eller cmd.exe - mindst 8-10 pr.
> > døgn.
> > >
> > > Der er rigtig mange fra TDC-Adsl og så en enkelt der kommer helt
udefra,
> > men
> > > generelt er der overvældende mange fra 80.62.x.x
> > > (X.X.Xxx1.adsl-dhcp.tele.dk) der søger at hente obskure ting på min
> > stakkels
> > > lille webserver.
> > >
> > > Når man så en sjælden gang finder en med neotrace eller lignende er
der
> > med
> > > garanti en Nimda@MM på adressen der grumt forsøger at overfalde min
> > > web-browser.