ich hab eine router auf dem auch httpd läuft.
jetzt hab ich mal in die logs geschaut, und folgende einträge gefunden:

216.139.6.80 - - [11/Dec/2001:12:17:15 +0100] "GET /default.ida?NNNNNNNNNNNNNNN
212.128.1.108 - - [11/Dec/2001:15:24:20 +0100] "GET /scripts/root.exe?/c+dir HT
212.128.1.108 - - [11/Dec/2001:15:24:27 +0100] "GET /MSADC/root.exe?/c+dir HTTP
212.128.1.108 - - [11/Dec/2001:15:24:31 +0100] "GET /c/winnt/system32/cmd.exe?/
212.128.1.108 - - [11/Dec/2001:15:24:35 +0100] "GET /d/winnt/system32/cmd.exe?/
212.128.1.108 - - [11/Dec/2001:15:24:38 +0100] "GET /scripts/..%255c../winnt/sy
212.128.1.108 - - [11/Dec/2001:15:24:42 +0100] "GET /_vti_bin/..%255c../..%255c
212.128.1.108 - - [11/Dec/2001:15:24:46 +0100] "GET /_mem_bin/..%255c../..%255c
212.128.1.108 - - [11/Dec/2001:15:24:52 +0100] "GET /msadc/..%255c../..%255c../
212.128.1.108 - - [11/Dec/2001:15:24:56 +0100] "GET /scripts/..%c1%1c../winnt/s
212.128.1.108 - - [11/Dec/2001:15:25:00 +0100] "GET /scripts/..%c0%2f../winnt/s
212.128.1.108 - - [11/Dec/2001:15:25:07 +0100] "GET /scripts/..%c0%af../winnt/s
212.128.1.108 - - [11/Dec/2001:15:25:10 +0100] "GET /scripts/..%c1%9c../winnt/s
212.128.1.108 - - [11/Dec/2001:15:25:14 +0100] "GET /scripts/..%%35%63../winnt/
212.128.1.108 - - [11/Dec/2001:15:25:17 +0100] "GET /scripts/..%%35c../winnt/sy
212.128.1.108 - - [11/Dec/2001:15:25:21 +0100] "GET /scripts/..%25%35%63../winn
212.128.1.108 - - [11/Dec/2001:15:25:25 +0100] "GET /scripts/..%252f../winnt/sy
64.105.142.46 - - [11/Dec/2001:17:27:35 +0100] "GET /default.ida?NNNNNNNNNNNNNN

solche einträge hab ich 2 - 3 mal täglich.

ist das jetzt wieder "nur" nimda & Co.?

das sieht so aus, als wenn jemand versucht deinen WebServer anzugreifen,...

Doch er hat nicht sehr viel Ahnung, denn Apache ist ja kein iis :D!

*lol die einträge kommen mir so bekannt vor von unserem iis. aber jetzt gabs mal ein patch von microdoof der sowas nicht mehr zu lässt.

aber beim indaner musste nicht ins schwitzen kommen.

gruß.

du kannst dir ja mal den Spass machen und bei ripe.net nach der IP-Adresse gucken und dem Provider, der UNI, oder sonst wem dem der IP-Bereich zugewiesen ist ne Mail schreiben, mit dem entsprechenden Log Ausschnitt!



Wenn es ein beispielsweise ein T-Online User ist könnte der einen netten Brief bekommen! :D

abuse mail mit logauszügen habe ich schon mindestens 10 verschiedene verschickt - das bringt gar nix denn es kommt einfach keine reaktion. Dummerweise waren das bei mir zu 99% Leute aus dem Ausland.

Ciao,
Marko

also ich habe das schreiben von t-online in einem Fall gesehen, dort hatte jemand einen ftp pub gescannt und ein paar Tage später Post, ...

T-Online ist in dem Fall vorbildlich, versuch das mal bei .jp oder .cn - dann trennt sich Spreu vom Weizen.


Mfg,
Air

HI!

Habe das hier gerade gelesen, und dann musste ich gleich mal nachschauen, ob bei mir auch solche Zeilen sind. Und siehe da, sie sind da. :mad:

Besser gesagt, es sind so ähnliche:
217.81.170.172 - - [03/Dec/2001:22:19:32 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287
217.81.170.172 - - [03/Dec/2001:22:19:32 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 285
217.81.170.172 - - [03/Dec/2001:22:19:32 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
217.81.170.172 - - [03/Dec/2001:22:19:32 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
217.81.170.172 - - [03/Dec/2001:22:19:33 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.81.170.172 - - [03/Dec/2001:22:19:33 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326
217.81.170.172 - - [03/Dec/2001:22:19:34 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326
217.81.170.172 - - [03/Dec/2001:22:19:34 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.ex217.81.170.172 - - [03/Dec/2001:22:19:35 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.81.170.172 - - [03/Dec/2001:22:19:35 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.81.170.172 - - [03/Dec/2001:22:19:35 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.81.170.172 - - [03/Dec/2001:22:19:36 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.81.170.172 - - [03/Dec/2001:22:19:36 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 292
217.81.170.172 - - [03/Dec/2001:22:19:36 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 292
217.81.170.172 - - [03/Dec/2001:22:19:37 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.81.170.172 - - [03/Dec/2001:22:19:37 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309

Kann man davon ausgehen, dass solche Einträge immer auf einen Angriff hindeuten?
Denn ich habe solche Einträge sehr häufig. :mad:

Ich habe schon bei ripe.net vorbeigeschaut, die IP-Adresse gehört zu T-Online.

gruß ZockerM

"Angriff" wohl eher. Es ist ein sich Automatisch ausbreitenter Wurm wo Bekannte Bugs ausnutzt.

Hallo Leute,

meine Log quellen auch mit solchen Schrott über, und es sind nicht nur ein-zwei IP Adressen wo der Kram herkommt!, wie kann ich verhindern, das mir diese bescheuerten Würmer die Log Files zumüllen - und so wie ich befürchte auch die Performance ins Netz abschneiden ;-(

kann mir da jemand weiterhelfen?

so long,

Christian

***scherz***
könnte man das als "...angriff auf die gesamte zivilisierte..." computernutzerwelt bezeichnen ? :D

dann hilft das hier evtl. weiter (ami-like):
ping -f -l 30000 -S 64000 <ip-adresse>
***scherz***

habe schon öfter darüber nachgedacht und hatte den finger manchmal schon wenige mm über der RETURN-Taste.....
das wäre sozusagen eine "Auge um Auge, Zahn um Zahn"-Technik :D

matze

Nutzt dir reichlich viel wenn du nur ne 33.6 verbindung hast ;)

@AirWulf
33.6 - gibts sowas noch ? :rolleyes:

is schon klar, bin halt von Kabelmodem ausgegangen bzw. DSL...

Matze

Wenn du brauchst, ich hab glaub noch nen 19.6'er modem da ;-)