linuxhanz
20.01.04, 11:44
Moin,
Habe mal wieder mein access_log abgegrast. gehe ich Recht in der Annahme
dasss es sich hier um Shellcode handelt? Ist das schon bekannt? Das Log ist auch nicht sooo neu: [29/Sep/2003:16:58:29 +0200]
Ist apache 1.3.27 noch aktuell ? *hüstel*
"SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x 02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x 02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x 02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x 02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 \x02\xb1\x02\xb usw.
Und hier nochmal anders: (sieht nach Relay testen via Apache aus? )
"\x04\x01" 200 0 "-" "-"
"CONNECT 61.135.132.100:25 HTTP/1.1" 200 5 "-" "-"
"\x05\x01" 200 0 "-" "-"
Nagut, evtl. faellt jemand was dazu ein?
EDIT zu 2: http://www.google.de/search?q=connect+61.135.132.100%3A25+&ie=UTF-8&oe=UTF-8&hl=de&meta=
EDIT zu 1: http://mail.nessus.org/pipermail/nessus/2003-November/000023.html
Habe mal wieder mein access_log abgegrast. gehe ich Recht in der Annahme
dasss es sich hier um Shellcode handelt? Ist das schon bekannt? Das Log ist auch nicht sooo neu: [29/Sep/2003:16:58:29 +0200]
Ist apache 1.3.27 noch aktuell ? *hüstel*
"SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x 02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x 02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x 02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x 02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02 \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 \x02\xb1\x02\xb usw.
Und hier nochmal anders: (sieht nach Relay testen via Apache aus? )
"\x04\x01" 200 0 "-" "-"
"CONNECT 61.135.132.100:25 HTTP/1.1" 200 5 "-" "-"
"\x05\x01" 200 0 "-" "-"
Nagut, evtl. faellt jemand was dazu ein?
EDIT zu 2: http://www.google.de/search?q=connect+61.135.132.100%3A25+&ie=UTF-8&oe=UTF-8&hl=de&meta=
EDIT zu 1: http://mail.nessus.org/pipermail/nessus/2003-November/000023.html