---

Hej

Hurra for et fedt lille program det der Quid pro que. Nu har jeg så haft
lidt tid til at lege lidt med serveren og med lidt hjemmeside. Men
allerede efter ganske kort tid dukker der mærkelige ting op i log
vinduet. Min fornemmelse siger Hacker og eller virus. Det eneste der
sker er at log skriver "ERR" hvilket efter ganske kort tid medfører at
aktiviteten stopper. Så står der også noget i stil med /scripts/root.exe
og /c/winnt/system32/cmd.exe osv... Er det en hacker? eller er det
virus? eller noget helt tredje?

Nå men der bliver jo' også listet et ip nummer som jeg går ud fra
tilhører den pågældene maskiner der kontakter mig. Men kan man finde ud
af mere specifikt hvem, hvad, hvor man bliver kontaktet fra?

Jeg må nok indrømme at jeg er ufatteligt glad for at arbejde med en mac
da sikkerhed ikke er det jeg ved mest om...

Men er der nogen der ved noget om hvordan man læser log filerne? Evt en
henvisning til noget artikel værk på nettet

--
Mvh Nicolai Brandt

---

in article 1f9f7t4.1sre2im1cp2y68N%nicstone@mac.com, Nicolai Brandt at
nicstone@mac.com wrote on 22/03/02 0:33:

> Hej
>
> Hurra for et fedt lille program det der Quid pro que. Nu har jeg så haft
> lidt tid til at lege lidt med serveren og med lidt hjemmeside. Men
> allerede efter ganske kort tid dukker der mærkelige ting op i log
> vinduet. Min fornemmelse siger Hacker og eller virus. Det eneste der
> sker er at log skriver "ERR" hvilket efter ganske kort tid medfører at
> aktiviteten stopper. Så står der også noget i stil med /scripts/root.exe
> og /c/winnt/system32/cmd.exe osv... Er det en hacker? eller er det
> virus? eller noget helt tredje?
>
> Nå men der bliver jo' også listet et ip nummer som jeg går ud fra
> tilhører den pågældene maskiner der kontakter mig. Men kan man finde ud
> af mere specifikt hvem, hvad, hvor man bliver kontaktet fra?
>
> Jeg må nok indrømme at jeg er ufatteligt glad for at arbejde med en mac
> da sikkerhed ikke er det jeg ved mest om...
>
> Men er der nogen der ved noget om hvordan man læser log filerne? Evt en
> henvisning til noget artikel værk på nettet

Det er bare NIMDA eller Code Red, internet orme der inficerer PC'er via
mails og de angrebne maskiner prøver så at hacke Windows IIS servere, mac'er
kan ikke hackes eller inficeres af de orme.
--
Det er jo ren fascisme, at man mener, det skal være flertallets ret at
forhindre et mindretal i at blive et demokratisk flertal.
--- CRL om muhamedanernes ret til at kolonisere Danmark.

---

Jesper <crown@diamond.ui> wrote:

> Det er bare NIMDA eller Code Red, internet orme der inficerer PC'er via
> mails og de angrebne maskiner prøver så at hacke Windows IIS servere, mac'er
> kan ikke hackes eller inficeres af de orme.

Hm... øv er det bare en orm... Tænkte det nok, jeg havde ellers lige
håbet på det var en virkelig ond hacker ring med usle og meget skumle
hensigter...

Kan/skal man gøre noget ved det?

Tak for forklaringen.

--
Mvh Nicolai Brandt

---

> Kan/skal man gøre noget ved det?

Jeg har gjort det til en (dårlig vane) med jævne mellemrum at løbe min
errorlog igennem og sende en mail til de maskiner som forsøge sig med at
sprede MS-virus. Slå IP-nummeret op enten på
http://www.dk-hostmaster.dk/dkwhois.php?lang=da (danske ip-numre) eller
http://www.ripe.net/ripencc/pub-services/db/whois/whois.html .
For det meste står der listet en abuse adresse som du kan maile til.

Min erfaring er at det er bedst at sende samme mail til alle, og hvis
man nederst i mailen lave en high-score liste, så er man sikkert på at
man får et svar fra dem

Herunder er en kopi af den mail som jeg sendte rundt. Så kan du jo sakse
hvad du har lyst til

saks -----------------
Hejsa,

Jeg sidder med en dejlig PowerBook som også ind i mellem er web-server,
og jeg har gjort det til en (u)-vane at gøre folk opmærksomme på når en
af deres maskiner har gjort underlige ting ved min...

Derfor...
[Thu Dec 13 11:58:39 2001] [error] [client 130.226.133.139] File does
not exist:
/Library/WebServer/Documents/scripts/..¿Ø../winnt/system32/cmd.exe
med mere
[Wed Dec 12 17:28:10 2001] [error] [client 130.226.133.91] File does not
exist: /Library/WebServer/Documents/scripts/..¡ú../winnt/system32/cmd.exe
med mere
[Tue Dec 11 14:15:21 2001] [error] [client 130.226.133.161] File does
not exist:
/Library/WebServer/Documents/scripts/..¡../winnt/system32/cmd.exe
med mere

Til almindelig underholdning kan jeg fortælle at på bare to måneder har
en bærbar computer som kun fungere som webserver lejlighedsvis fået
besøg af worms som spredes gennem Microsoft web-server software mere en
100 gange. Og statistikken for danske uddannelses- og
forsknings-institutioner lyder som følger ...

IT-Højskolen : 3 servere
Syddanske universitetscenter : 1 server
Handelshøjskolen i København : 1 server
Århus universitet : 1 server
Ikke fundet fra Darenet : 2 servere


med venlig hilsen

slut-saks ------------


Og hvis du nu har læst så langt.... så vil jeg da gerne høre fra andre
på listen om jeg er helt ude i skoven, eller der er nogen der har samme
(u)-vaner....


Mads

---

Mads Lindegård Hjorth <madsh@ruc.dk> wrote:

> > Kan/skal man gøre noget ved det?
>
> Jeg har gjort det til en (dårlig vane) med jævne mellemrum at løbe min
> errorlog igennem og sende en mail til de maskiner som forsøge sig med at
> sprede MS-virus. Slå IP-nummeret op enten på
> http://www.dk-hostmaster.dk/dkwhois.php?lang=da (danske ip-numre) eller
> http://www.ripe.net/ripencc/pub-services/db/whois/whois.html .
> For det meste står der listet en abuse adresse som du kan maile til.
>
> Min erfaring er at det er bedst at sende samme mail til alle, og hvis
> man nederst i mailen lave en high-score liste, så er man sikkert på at
> man får et svar fra dem
>
> Herunder er en kopi af den mail som jeg sendte rundt. Så kan du jo sakse
> hvad du har lyst til

Tak skal du ha. Det lyder da som en ok uvane.

Selvom det saksede er klippet så har jeg gemt det til senere brug

--
Mvh Nicolai Brandt
"I uvejret beder den vise til Gud, ikke om sikkerhed for
faren, men om befrielse for frygten" - Ralph Waldo Emerson

---

Nicolai Brandt <nicstone@mac.com> wrote:

> Nå men der bliver jo' også listet et ip nummer som jeg går ud fra
> tilhører den pågældene maskiner der kontakter mig. Men kan man finde ud
> af mere specifikt hvem, hvad, hvor man bliver kontaktet fra?

Der er et lille freewareprogram der hedder "WhatRoute". Det fortæller
noget. (Men ikke alt ...)

Martin

---

nicstone@mac.com (Nicolai Brandt) writes:

> aktiviteten stopper. Så står der også noget i stil med /scripts/root.exe
> og /c/winnt/system32/cmd.exe osv... Er det en hacker? eller er det
> virus? eller noget helt tredje?

Et standardangreb på en Microsoft Internet Exchange Server (webserver
til Windows). Hackere skyder med spredehagl.

Foretages normalt af inficerede maskiner og ikke af onde mennesker.

> Jeg må nok indrømme at jeg er ufatteligt glad for at arbejde med en mac
> da sikkerhed ikke er det jeg ved mest om...

Glæd dig over at du er 100% usårlig for Windows-baserede angreb.

--
Thorbjørn Ravn Andersen
http://homepage.mac.com/ravn

---

Thorbjørn Ravn Andersen <ravn@mac.com> wrote:

> Foretages normalt af inficerede maskiner og ikke af onde mennesker.

Det er bare vildt da jeg kun har haft webserveren oppe i 2 dage og
allerede er blevet kontaktet 3 gange... Der må være en del virus i
omløb. (måske det ingen gang er helt ualmindeligt)

> > Jeg må nok indrømme at jeg er ufatteligt glad for at arbejde med en mac
> > da sikkerhed ikke er det jeg ved mest om...
>
> Glæd dig over at du er 100% usårlig for Windows-baserede angreb.

Det gør jeg også

--
Mvh Nicolai Brandt