/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvad er denne hhtp-forespørgsel?
Fra : Rasmus Bøg Hansen


Dato : 07-08-01 07:33

Hej

Jeg ser denne forespørgsel på min squid-proxy rigtig mange gange:

997087989.743 1149 xxx.xxx.xxx.xxx TCP_MISS/404 514 GET
http://yyy.yyy.yyy.yyy/LE/isapitest.dll? - DIRECT/yyy.yyy.yyy.yyy
text/html

yyy.yyy.yyy.yyy er proxyen selv (som også kører apache med nogle
MRTG-statistikker). Jeg kan regne ud, at ovenstående ikke er farligt,
da det er en linux-maskine - men hvad betyder det?

Er det blot en fejlkonfigureret klient eller er det tegn på en
sikkerhedsbrist, der søges efter?

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
There are three kinds of lies:
lies, politics and statistics.
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

 
 
Kent Friis (07-08-2001)
Kommentar
Fra : Kent Friis


Dato : 07-08-01 20:27

Den Tue, 7 Aug 2001 08:33:21 +0200 skrev Rasmus Bøg Hansen:
>Hej
>
>Jeg ser denne forespørgsel på min squid-proxy rigtig mange gange:
>
>997087989.743 1149 xxx.xxx.xxx.xxx TCP_MISS/404 514 GET
>http://yyy.yyy.yyy.yyy/LE/isapitest.dll? - DIRECT/yyy.yyy.yyy.yyy
>text/html
>
>yyy.yyy.yyy.yyy er proxyen selv (som også kører apache med nogle
>MRTG-statistikker). Jeg kan regne ud, at ovenstående ikke er farligt,
>da det er en linux-maskine - men hvad betyder det?
>
>Er det blot en fejlkonfigureret klient eller er det tegn på en
>sikkerhedsbrist, der søges efter?

I hvert fald ikke en sikkerhedsbrist hos dig selv. Jeg går ud fra at xxx
må være klienten... Det må altså være den der forsøger at connecte som
enten har ubudne gæster eller en bruger der forsøger at finde en hullet
(windows-) webserver.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

Rasmus Bøg Hansen (08-08-2001)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 08-08-01 22:43

Kent Friis wrote:

>>997087989.743 1149 xxx.xxx.xxx.xxx TCP_MISS/404 514 GET
>>http://yyy.yyy.yyy.yyy/LE/isapitest.dll? - DIRECT/yyy.yyy.yyy.yyy
>>text/html

> I hvert fald ikke en sikkerhedsbrist hos dig selv. Jeg går ud fra at
> xxx må være klienten... Det må altså være den der forsøger at connecte
> som enten har ubudne gæster eller en bruger der forsøger at finde en
> hullet (windows-) webserver.

Så langt havde jeg gættet. Jeg spekulerede blot over, om det var et
kendt sikkerhedshul eller blot en browser, der ikke forstår transparent
proxying - eller er sat forkert op...

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
God put me on earth to accomplish a certain number of things.
Right now I am so far behind I will never die.
-Bill Waterson, Calvin and Hobbes
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

Jens (07-08-2001)
Kommentar
Fra : Jens


Dato : 07-08-01 23:02

"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> skrev i en meddelelse
news:9ko23h$127$1@carlsberg.amagerkollegiet.dk...
> Hej
>
> Jeg ser denne forespørgsel på min squid-proxy rigtig mange gange:
>
> 997087989.743 1149 xxx.xxx.xxx.xxx TCP_MISS/404 514 GET
> http://yyy.yyy.yyy.yyy/LE/isapitest.dll? - DIRECT/yyy.yyy.yyy.yyy
> text/html
>
> yyy.yyy.yyy.yyy er proxyen selv (som også kører apache med nogle
> MRTG-statistikker). Jeg kan regne ud, at ovenstående ikke er farligt,
> da det er en linux-maskine - men hvad betyder det?
>
> Er det blot en fejlkonfigureret klient eller er det tegn på en
> sikkerhedsbrist, der søges efter?

Ligner forsøg på angreb med Code Red virus.......

Jens



John Hinge (08-08-2001)
Kommentar
Fra : John Hinge


Dato : 08-08-01 09:24

Jens wrote:
>
> "Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> skrev i en meddelelse
> > 997087989.743 1149 xxx.xxx.xxx.xxx TCP_MISS/404 514 GET
> > http://yyy.yyy.yyy.yyy/LE/isapitest.dll? - DIRECT/yyy.yyy.yyy.yyy
> > Er det blot en fejlkonfigureret klient eller er det tegn på en
> > sikkerhedsbrist, der søges efter?
>
> Ligner forsøg på angreb med Code Red virus.......
>
Nej det gør det ikke!
Code Red (og Code Red 2) vil lave en GET /default.ida?XXXXXXXXXXXXXXX...
eller GET /default.ida?NNNNNNNNNNN...
Det kan sagtens være en eller anden anden IIS orm, f.eks SAdmin ?
Jeg kender ikke muddelbart dens fingeraftryk, men Code Red har jeg
efterhånden virkelig mange af i min webservers logfiler

--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste