/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Måske OT..... ? men prøver alligevel
Fra : Preben Jensen


Dato : 20-07-01 08:54

Hej.
Jeg har en OmniHTTPd-server kørende og er begyndt at få en hel del meldinger
som flg:

19-07-2001 18:24:47
"lsanca1-ar4-214-068.biz.dsl.gtei.net localhost - [19/Jul/2001:18:24:47
+0200] ""GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0"" 404 1219 """" """"
lsanca1-ar4-214-068.biz.dsl.gtei.net [19/Jul/2001:18:24:47 +0200] Error
reading ""C:\HTTPD\adgang\default.ida"" - Den angivne fil blev ikke fundet."

19-07-2001 19:00:01
"203.56.134.194 localhost - [19/Jul/2001:19:00:01 +0200] ""GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0"" 404 1219 """" """"
203.56.134.194 [19/Jul/2001:19:00:01 +0200] Error reading
""C:\HTTPD\adgang\default.ida"" - Den angivne fil blev ikke fundet."

Det jeg så gerne vil vide er om det er et forsøg på at hacke sig ind eller
om det bare er "kuk"
i den fra en eller anden server ude i verden ?

Ved du noget om ovenstående ?


--
Preben Jensen
www.pdcs.dk



 
 
Thomas Jespersen (20-07-2001)
Kommentar
Fra : Thomas Jespersen


Dato : 20-07-01 09:08

"Preben Jensen" <preben@pdcs.dk> writes:

> Det jeg så gerne vil vide er om det er et forsøg på at hacke sig ind eller
> om det bare er "kuk"
> i den fra en eller anden server ude i verden ?

Ja, du kan kigge i nogle af de andre tråde. Angrebet virker på IIS så
du skulle være sikker, men her er et link til en beskrivelse af
angrebet:
http://www.cert.org/advisories/CA-2001-19.html

John Hinge (20-07-2001)
Kommentar
Fra : John Hinge


Dato : 20-07-01 09:23

Preben Jensen wrote:
>
> Hej.
> Jeg har en OmniHTTPd-server kørende og er begyndt at få en hel del meldinger

OHTTPD er en fin webserver til os 'små mennesker' med små behov for at
putte ting på webbet, og så er den obskur nok til at jeg ikke har set
nogen forsøge sig med exploits til den (endnu, 7-9-13)


> Det jeg så gerne vil vide er om det er et forsøg på at hacke sig ind eller
> om det bare er "kuk"
> i den fra en eller anden server ude i verden ?
>

Faktisk er det for engangs skyld ikek en falsk alarm ala 'hjæælp
min zonealarm siger jeg blir hacket på port 138' men en såkaldt
Orm, der er påvej rundt på alle de IIS servere den kan komme i
nærheden af, og som ikke har taget sig sammen og installeret
den seneste sikkerheds patch fra MS.

Ormen hedder Code Red
se f.eks : http://www.cert.org/advisories/CA-2001-19.html
Den er ikke farlig for din OHHTPd installation, andet end
at den da ser irriterende ud i loggen.

At sende mails til de servere den kommer fra er lidt
op til dig, jeg sendte et par stykker i går aftes indtil
jeg fandt ud af hvad der foregik.

Af prominente ting den har været efter kan jeg på indlæg
her i gruppen forstå at den har hapset Zitech..
Jeg har også hørt fra nogen at scor.dk sku ha været ramt.
Det luskede ved den er at den efter 10 timer, bliver usynlig
dvs websiden ser normal ud igen, herefter står ormen bare
og spreder sig, og laver alm. ulykker.
Der er vist noget om at den sender en masse binaert flaf
til www.whitehouse.gov sådan i et forsøg på at DoS'e dem


--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

Preben Jensen (20-07-2001)
Kommentar
Fra : Preben Jensen


Dato : 20-07-01 09:46


"John Hinge" <shayera_gimmenospam_@cutey.com> skrev i en meddelelse
news:3B57EA62.D58E88C2@cutey.com...
[klip]

ja, jeg har kigget i nogle tråde og fundet ud af at det er en "trendy" en i
øjeblikket.
Men det er første gang jeg oplevede noget sådan så jeg ville lige forhøre
mig.

Jeg siger mange tak for jeres svar.
--
Preben Jensen
www.pdcs.dk



Peder Vendelbo Mikke~ (21-07-2001)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 21-07-01 21:19

"John Hinge" skrev

> Der er vist noget om at den sender en masse binaert flaf
> til www.whitehouse.gov sådan i et forsøg på at DoS'e dem

Den sender trafik efter ip-adressen på en bestemt webserver i det hvide
hus. IP-adressen bliver blackholed:

<URL: http://www.securityfocus.com/frames/?content=/templates/archive.pike%3Flist%3D1%26mid%3D198210 >

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste