/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
hacker?
Fra : Paul Palludan


Dato : 04-02-03 18:59

Hej
Jeg har en hjemmeside http://papahjerting.dk kørende på min egen
server. Jeg har ingen særlige sikkerhedsforanstaltninger ud over
Antivirus. Har haft zonealarm på, men det var lidt bøvlet i forhold
til nogle andre programmer. Der sker såmænd heller ikke den helt store
skade hvis min side bliver bombet ned men.....

Jeg har i min logfil lagt mærke til følgende opkald som er typisk. Er
der nogen som kan sige mig hvad det betyder og hvad kan vedkommende
evt. finde på?

>2003-02-04 16:48:46 80.161.113.207 - GET /scripts/root.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:48:49 80.161.113.207 - GET /MSADC/root.exe 403 4227 HTTP/1.0 - -
>2003-02-04 16:48:52 80.161.113.207 - GET /c/winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:48:54 80.161.113.207 - GET /d/winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:48:57 80.161.113.207 - GET /scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:48:59 80.161.113.207 - GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:49:01 80.161.113.207 - GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:49:04 80.161.113.207 - GET /msadc/..%5c../..%5c../..%5c/..Á ../..Á ../..Á ../winnt/system32/cmd.exe 403 4227 HTTP/1.0 - -
>2003-02-04 16:49:07 80.161.113.207 - GET /scripts/..Á ../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:49:09 80.161.113.207 - GET /scripts/winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:49:12 80.161.113.207 - GET /winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:49:15 80.161.113.207 - GET /winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -
>2003-02-04 16:49:17 80.161.113.207 - GET /scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:49:20 80.161.113.207 - GET /scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:49:22 80.161.113.207 - GET /scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
>2003-02-04 16:49:24 80.161.113.207 - GET /scripts/..%2f../winnt/system32/cmd.exe 500 0 HTTP/1.0


Med venlig hilsen
Paul

 
 
Timo Jensen (04-02-2003)
Kommentar
Fra : Timo Jensen


Dato : 04-02-03 19:15

"Paul Palludan" <papa@esenet.dk> skrev i en meddelelse
news:3fvv3vc8tutnme1m231t9ll9mj50hqmaou@4ax.com...
> Hej
> Jeg har en hjemmeside http://papahjerting.dk kørende på min egen

Det betyder blot at 80.161.113.207 er ramt af en virus/orm, som forsøger at
sprede sig derfra.

Min egen reaktion plejer at være at skå vedkommendes ISP op, og bede dem
gøre deres kunde opmærksom på problemet. Ikke en klage, blot en venlighed.

Timo
http://www.mlm-life.com



Jesper Dybdal (04-02-2003)
Kommentar
Fra : Jesper Dybdal


Dato : 04-02-03 19:16

Paul Palludan <papa@esenet.dk> wrote:

>>2003-02-04 16:48:46 80.161.113.207 - GET /scripts/root.exe 404 4184 HTTP/1.0 - -
>>2003-02-04 16:48:49 80.161.113.207 - GET /MSADC/root.exe 403 4227 HTTP/1.0 - -
>>2003-02-04 16:48:52 80.161.113.207 - GET /c/winnt/system32/cmd.exe 404 4184 HTTP/1.0 - -

Det er Nimda (eller noget i den stil). IP-adressen tilhører ikke en
hacker, men et offer med en inficeret maskine.

Hvis din IIS er nogenlunde up-to-date med sikkerhedsrettelser har du
ikke noget problem. Ellers har du.

Søg evt. efter "Nimda" på Google for at få detaljer om hvad den gør.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

johnny (04-02-2003)
Kommentar
Fra : johnny


Dato : 04-02-03 20:48

Du har haft besøg af nimda virusen, og du skal som fortalt have opdateret
din W2K med IIS Lockdown tools og security patch eller har du et seriøst
problem da du vil blive spræng brædt til andre med dig som afsender.

"Paul Palludan" <papa@esenet.dk> skrev i en meddelelse
news:3fvv3vc8tutnme1m231t9ll9mj50hqmaou@4ax.com...
> Hej
> Jeg har en hjemmeside http://papahjerting.dk kørende på min egen
> server. Jeg har ingen særlige sikkerhedsforanstaltninger ud over
> Antivirus. Har haft zonealarm på, men det var lidt bøvlet i forhold
> til nogle andre programmer. Der sker såmænd heller ikke den helt store
> skade hvis min side bliver bombet ned men.....
>
> Jeg har i min logfil lagt mærke til følgende opkald som er typisk. Er
> der nogen som kan sige mig hvad det betyder og hvad kan vedkommende
> evt. finde på?
>
> >2003-02-04 16:48:46 80.161.113.207 - GET /scripts/root.exe 404 4184
HTTP/1.0 - -
> >2003-02-04 16:48:49 80.161.113.207 - GET /MSADC/root.exe 403 4227
HTTP/1.0 - -
> >2003-02-04 16:48:52 80.161.113.207 - GET /c/winnt/system32/cmd.exe 404
4184 HTTP/1.0 - -
> >2003-02-04 16:48:54 80.161.113.207 - GET /d/winnt/system32/cmd.exe 404
4184 HTTP/1.0 - -
> >2003-02-04 16:48:57 80.161.113.207 - GET
/scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:48:59 80.161.113.207 - GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:49:01 80.161.113.207 - GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404 4184
HTTP/1.0 - -
> >2003-02-04 16:49:04 80.161.113.207 - GET /msadc/..%5c../..%5c../..%5c/..Á
.../..Á ../..Á ../winnt/system32/cmd.exe 403 4227 HTTP/1.0 - -
> >2003-02-04 16:49:07 80.161.113.207 - GET /scripts/..Á
.../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:49:09 80.161.113.207 - GET /scripts/winnt/system32/cmd.exe
404 4184 HTTP/1.0 - -
> >2003-02-04 16:49:12 80.161.113.207 - GET /winnt/system32/cmd.exe 404 4184
HTTP/1.0 - -
> >2003-02-04 16:49:15 80.161.113.207 - GET /winnt/system32/cmd.exe 404 4184
HTTP/1.0 - -
> >2003-02-04 16:49:17 80.161.113.207 - GET
/scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:49:20 80.161.113.207 - GET
/scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:49:22 80.161.113.207 - GET
/scripts/..%5c../winnt/system32/cmd.exe 500 0 HTTP/1.0 - -
> >2003-02-04 16:49:24 80.161.113.207 - GET
/scripts/..%2f../winnt/system32/cmd.exe 500 0 HTTP/1.0
>
>
> Med venlig hilsen
> Paul



Paul Palludan (07-02-2003)
Kommentar
Fra : Paul Palludan


Dato : 07-02-03 09:34

Tusind tak for info.
Venlig hilsen Paul

Lars Raaby (11-02-2003)
Kommentar
Fra : Lars Raaby


Dato : 11-02-03 20:57

Paul Palludan skrev bl.a.:
> Jeg har i min logfil lagt mærke til følgende opkald som er
> typisk. Er
> der nogen som kan sige mig hvad det betyder og hvad kan
> vedkommende
> evt. finde på?
>
Det er en teledanmark kunde.
0x50a171cf.naenxx7.adsl-dhcp.tele.dk.

abuse@post.tele.dk



--
Med venlig hilsen
Lars Raaby



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408939
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste