/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Webserver log - mistænkelige requests
Fra : IB


Dato : 18-06-02 13:51

Jeg har adskellige gange fundet noget lignende i min access.log for min
apache webserver:

<24.196.191.32 - - [18/Jun/2002:14:21:48 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 310 "-" "-">
<213.221.189.10 - - [18/Jun/2002:14:35:11 +0200] "CONNECT
213.221.189.10:6660 HTTP/1.0" 405 289 "-" "-">

Hver gang er det fra en ny ip, men er der nogen der ved hvilket huller,
ovenstående prøver at udnytte, og i tilfælde af at det skulle lykkes, hvad
ville det så resultere i??

Jeg går ikke umiddelbart ud fra at det er noget jeg skal bekymre mig så
meget om, men det er irriterende at få loggen fyldt op med disse requests.

Mvh Ib

Ps: Apache v. 1.3.24



 
 
Kasper Dupont (18-06-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-06-02 15:32

IB wrote:
>
> Jeg har adskellige gange fundet noget lignende i min access.log for min
> apache webserver:
>
> <24.196.191.32 - - [18/Jun/2002:14:21:48 +0200] "GET
> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
> u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 400 310 "-" "-">
> <213.221.189.10 - - [18/Jun/2002:14:35:11 +0200] "CONNECT
> 213.221.189.10:6660 HTTP/1.0" 405 289 "-" "-">
>
> Hver gang er det fra en ny ip, men er der nogen der ved hvilket huller,
> ovenstående prøver at udnytte, og i tilfælde af at det skulle lykkes, hvad
> ville det så resultere i??
>
> Jeg går ikke umiddelbart ud fra at det er noget jeg skal bekymre mig så
> meget om, men det er irriterende at få loggen fyldt op med disse requests.
>
> Mvh Ib
>
> Ps: Apache v. 1.3.24

Det spørgsmål er blevet stillet og besvaret
tusindvis af gange før:
http://www.google.com/search?q=%2Fdefault.ida%3F

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Troels Arvin (18-06-2002)
Kommentar
Fra : Troels Arvin


Dato : 18-06-02 16:37

On Tue, 18 Jun 2002 14:51:10 +0200, IB wrote:

> <24.196.191.32 - - [18/Jun/2002:14:21:48 +0200] "GET
> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
> u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 400 310 "-" "-">

Du har ikke noget at frygte. Den slags requests har det svirret med i stor
stil i over et halvt år. 24.196.191.32 er sikkert Windows-server inficeret
med en orm (Nimda, så vidt jeg husker). Ormen forsøger at finde andre
Windows-servere (upatch'ede ISS'er) at inficere.

--
Greetings from Troels Arvin, Copenhagen, Denmark


IB (18-06-2002)
Kommentar
Fra : IB


Dato : 18-06-02 20:52

"Troels Arvin" <troels@arvin.dk> wrote in message
news:3d0f53a9$0$80395$edfadb0f@dspool01.news.tele.dk...
> Du har ikke noget at frygte. Den slags requests har det svirret med i stor
> stil i over et halvt år. 24.196.191.32 er sikkert Windows-server inficeret
> med en orm (Nimda, så vidt jeg husker). Ormen forsøger at finde andre
> Windows-servere (upatch'ede ISS'er) at inficere.

Takker, tænkte nok at det var noget i den stil.
Men hvad med den anden?? Er der nogen der har hørt om den før?
<213.221.189.10 - - [18/Jun/2002:14:35:11 +0200] "CONNECT
213.221.189.10:6660 HTTP/1.0" 405 289 "-" "-">

Mvh Ib




Peter Brodersen (18-06-2002)
Kommentar
Fra : Peter Brodersen


Dato : 18-06-02 21:24

On Tue, 18 Jun 2002 21:51:44 +0200, "IB" <IB@getgod.dk00> wrote:

>Men hvad med den anden?? Er der nogen der har hørt om den før?
><213.221.189.10 - - [18/Jun/2002:14:35:11 +0200] "CONNECT
>213.221.189.10:6660 HTTP/1.0" 405 289 "-" "-">

Der er vist flere, der har fået den slags hits fra IP-adresser i det
område:
http://www.google.com/search?hl=da&ie=UTF8&oe=UTF8&q=CONNECT+6660+HTTP%2F1.0&lr=

--
- Peter Brodersen

Martin (24-06-2002)
Kommentar
Fra : Martin


Dato : 24-06-02 11:34

"IB" <IB@getgod.dk00> wrote in message
news:aeo314$1hi7$1@news.cybercity.dk...
> Takker, tænkte nok at det var noget i den stil.
> Men hvad med den anden?? Er der nogen der har hørt om den før?
> <213.221.189.10 - - [18/Jun/2002:14:35:11 +0200] "CONNECT
> 213.221.189.10:6660 HTTP/1.0" 405 289 "-" "-">

Det ligner noget proxyscan fra en eller anden IRC server, jeg ved quakenet
scanner efter div. åbne proxies på ens ip når man connecter til en quakenet
server, så mon ikke det er sådan noget?

Mvh
Martin




Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste