Also daraus werde ich nicht schlau.....

Sind das Angriffe oder was ?? Sieht irgendwie komisch aus. Kann mir da mal jemand was zu erzählen ?

Auszüge sind aus dem apache error.log

[Wed Feb 13 02:14:51 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/scripts/root.exe
[Wed Feb 13 02:14:52 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/MSADC/root.exe
[Wed Feb 13 02:14:54 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/c/winnt/system32/cmd.exe
[Wed Feb 13 02:14:55 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/d/winnt/system32/cmd.exe
[Wed Feb 13 02:14:56 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Wed Feb 13 02:14:59 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Feb 13 02:15:02 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Wed Feb 13 02:15:05 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/msadc/..%5c../..%5c../..%5c/..Á^\../..Á^\../..Á^\../winnt/system32/cmd.exe
[Wed Feb 13 02:15:08 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/scripts/..Á^\../winnt/system32/cmd.exe
[Wed Feb 13 02:15:11 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/scripts/..À¯../winnt/system32/cmd.exe
[Wed Feb 13 02:15:11 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/scripts/..Á<9C>../winnt/system32/cmd.exe
[Wed Feb 13 02:15:16 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/scripts/..%5c../winnt/system32/cmd.exe
[Wed Feb 13 02:15:18 2002] [error] [client 80.142.147.7] File does not exist: /var/www/html/scripts/..%2f../winnt/system32/cmd.exe

Was sagt der "normale" Syslog? Schaut verdächtig aus. Entweder ein Virus oder sonst was, ich kann aber auch daneben liegen....

Hallo Ulli,

sieht nach Code Rev v3 aus.

Viele Grüsse

Eicke

Link hier (http://www.europe.f-secure.com/v-descs/bady.shtml)

Hi,

ich dächte das ist Nimda.

CodeRed nutzt doch nur den Buffer Overflow (glaube im IIS Indexing Service) aus, d.h. CodeRed nimmt nur Überlange Get's gefüllt mit 'X' bei CodeRed V1 und mit 'N' bei CodeRed V2.

Gruß

-= Pingu =-

Also die syslogs und securitylogs sind "sauber" d.H. im normalen Bereich.

Da er da immer irgendwas Windowsmäßiges sucht nehme ich auch mal an das ich nicht irgendwie befallen worden bin. Kann mir mal jemand erklähren wie ich das untersuchen kann ??

Also das ist mein erster (eigener) Webserver, seit ein paar tagen up und dann schon so ein kram...... bullshit. Die Angreifer - IP gehört übrigens zu t-online.

Hi Uli,

solange da kein IIS drauf läuft brauchste for Nimda und den CodeRed versionen keine Angst haben. Die müllen halt nur die error.log voll.
Wenn 'n bischen Arbeit inwestieren willst, kannste den dortigen Admin informieren oder die Telekom, wenn's 'ne Telekom Dialup-IP ist. Damit's aufhört. Ist aber wahrscheinlich verlohrene Mühe bei den meisten.

Gruß

-= Pingu =-

Habe ich mir schon gedacht..... naja, dann werde ich wohl mal den ganzen kram ignorieren....

Ich würde mal gerne die logs von meiner Homepage bei Strato sehen ;)

Das (IIS :p) Problem ist ja bekannt.

Hatte aber auch schon mal die Idee, von der IP automatisiert nen reverse DNS-lookup zu machen und an webmaster@xy.yx ne email-virenwarnung zu schicken. So könnte man die Viren vielleicht schneller eindämmen. Hat das schon jemand bzw. was haltet Ihr davon?

Das ist eine gute Idee !! Aber das dürfte sich nicht leicht realisieren lassen, weil das mit webmaster@xyz.com ist ja schön, aber bei einer dynamischen IP (wie das ja bei mir der fall war) hilft das IMHO nicht. Da müsste dann integiert werden das er ne mail an abuse@t-online.de schickt (wenns sowas gibt) mit IP und genauer Zeitangabe.....

und das ganze noch als plugin für apache ;)

Das könnte ein richtig gutes Projekt werden.....

Hat bei Dial-up Zugängen in der Regel keinen Zweck, ausserdem haben die Abuse Abteilungen evtl. wichtigeres zu tun, als von solchen "Massenmails" überschwemmt zu werden.

ja, die dynamischen IPs waren bis jetzt auch der Grund für mich, es nicht zu tun. Man könnte aber evt. die dynamisch vergebenen IP-Adressräume ausklammern. Nur, was bleibt dann noch übrig?

@ Jorge, da haste wohl recht....

@Elektronator

Da wird wohl nicht viel überbleiben, und ich bezweifle das wir alle dynamischen adressräume irgendwie zusammenbekommen, oder sind die alle in einem extra festgelegten Bereich ? Wo kann man diese Bereiche rausfinden ?

Hallo,

wozu denn die Aufregung?

Das ist doch ganz normal. Mit einem Linux Rechner kann Dir nichts passieren.

Viele Grüsse

Eicke

Schon klar netzmeister, die letzten Beiträge gingen sich ja nur um prinzipiell machbares ;)

Hoi,

nochmal was zum Netzmeister:

Ein PC, egal was drauf ist, ist immer nur so sicher wie sein Admin. Ob Linux oder nüscht. Ich hab schon Pferde kotzen sehen. Letztens war ich eins :D

Gruezerle

Cojun