/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Forsøg på hacking eller hvad. ??
Fra : L.K.


Dato : 17-06-04 08:13

Jeg køre et par hjemmesider fra min server (WinXP), og sidder nu og kigger
lidt i loggen, og har fundet følgende tekst.

20:10:02 80.62.33.7 GET /scripts/root.exe 404
20:10:07 80.62.33.7 GET /MSADC/root.exe 404
20:10:11 80.62.33.7 GET /c/winnt/system32/cmd.exe 404
20:10:15 80.62.33.7 GET /d/winnt/system32/cmd.exe 404
20:10:19 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:10:23 80.62.33.7 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500
20:10:27 80.62.33.7 GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
20:10:31 80.62.33.7 GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404
20:10:34 80.62.33.7 GET /scripts/..Á../winnt/system32/cmd.exe 404
20:10:39 80.62.33.7 GET /scripts/winnt/system32/cmd.exe 404
20:10:43 80.62.33.7 GET /winnt/system32/cmd.exe 404
20:10:47 80.62.33.7 GET /winnt/system32/cmd.exe 404
20:10:54 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:10:58 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:11:05 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:11:09 80.62.33.7 GET /scripts/..%2f../winnt/system32/cmd.exe 404

22:58:08 64.68.81.176 GET /robots.txt 404

Er dette et forsøg på at hacke mig, og lykkes det for dem.
Ved godt hvad cmd.exe er.

L.K.



 
 
Anders Lund (17-06-2004)
Kommentar
Fra : Anders Lund


Dato : 17-06-04 08:35

L.K. wrote:

[Udklip af log]

> Er dette et forsøg på at hacke mig, og lykkes det for dem.
> Ved godt hvad cmd.exe er.

Ja, der står sikkert en eller anden Windåse maskine som er inficeret med
en eller anden orm. Den prøver så at smitte din maskine. "robots.txt" er
dog ikke farlig.

Om det er lykkedes - sikkert ikke - hvis du har været flittig med
Windows update.

Ellers er google altid et godt sted at starte...
--
Anders Lund - spam2004@andersonline.dk

Brian R. Jensen (17-06-2004)
Kommentar
Fra : Brian R. Jensen


Dato : 17-06-04 09:08


"L.K." <aliveinc@yahoo.dk> skrev i en meddelelse
news:40d14483$0$493$edfadb0f@dread14.news.tele.dk...
> Jeg køre et par hjemmesider fra min server (WinXP), og sidder nu og kigger
> lidt i loggen, og har fundet følgende tekst.

> 20:10:02 80.62.33.7 GET /scripts/root.exe 404
> 20:10:07 80.62.33.7 GET /MSADC/root.exe 404
[klip]

Det er en virus/orm, svjh er det Nimda eller CodeRed - check selv via
Google.

Sørg for at din maskine er patchet.

> 22:58:08 64.68.81.176 GET /robots.txt 404

Søgemaskine der ser efter om du har en robots.txt, se mere på:
http://www.robotstxt.org/wc/robots.html

/Brian



Thomas Strandtoft (17-06-2004)
Kommentar
Fra : Thomas Strandtoft


Dato : 17-06-04 21:08

"L.K." wrote:

> Er dette et forsøg på at hacke mig, og lykkes det for dem.
> Ved godt hvad cmd.exe er.

Der står 404 efter de flest forsøg = file not found - dvs. der er
blevet spurgt efter en fil din server ikke har.. Så er der en
enkelt 500 som er en Internal Server Error der betyder noget i
stil med at serveren er blevet spurgt om en ydelse den ikke kan
eller vil levere.. Så nej, det er ikke lykkedes for den inficerede
maskiner at få hul igennem til din, alle de "kreative" forsøg er
blevet afvist..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

L.K. (20-06-2004)
Kommentar
Fra : L.K.


Dato : 20-06-04 06:40


"L.K." <aliveinc@yahoo.dk> skrev i en meddelelse
news:40d14483$0$493$edfadb0f@dread14.news.tele.dk...
> Jeg køre et par hjemmesider fra min server (WinXP), og sidder nu og kigger
> lidt i loggen, og har fundet følgende tekst.
>
> 20:10:02 80.62.33.7 GET /scripts/root.exe 404
Klip-Klip
>
> Er dette et forsøg på at hacke mig, og lykkes det for dem.
> Ved godt hvad cmd.exe er.
>
> L.K.
>
>
Tak for svarene, har nu sidet og kigget lidt mere i min log, og kan se
næsten samme ip adresse gå igen.

80.62.125.141
80.62.33.68
80.62.33.7
80.62.33.225

Har slået op på ripe.net, og fundet frem til at de måske stammer fra en TDC
kunde, er det muligt at det er en TDC kunde der har fået sig en virus, eller
en den synes det er sjovet at prøve at hacke min server, han prøver ca.
hverdag.
Og burde man anmelde dette til TDC.

L.K.



Alex Holst (20-06-2004)
Kommentar
Fra : Alex Holst


Dato : 20-06-04 12:09

L.K. wrote:
> Tak for svarene, har nu sidet og kigget lidt mere i min log, og kan se
> næsten samme ip adresse gå igen.

Hvis du ikke har dokumenteret klare retningslinier, eller i det mindste
ved hvordan du vil reagere paa bestemte log entries, hvorfor bruger du
saa tid paa det?

Din nuvaerende fremgangsmaade er spild af din tid.

Se endvidere relevante spoergsmaal og svar i OSS'en.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste