PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : access_log



dunervst
27.06.02, 16:01
Kann mir jemand erklären, was dieser Eintrag in meiner access_log macht. Was hat der user probiert auf dem Webserver zu machen.

213.98.62.197 - - [27/Jun/2002:15:00:58 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 327 "-" "-"


kann ich überhaupt nicht nachvollziehen.





Normale sind für mich diese Einträge:

62.157.126.90 - - [27/Jun/2002:16:10:19 +0200] "GET /htdocs/chat/chat-out.php?CHAT_USER_NAME=Marcel23&CHAT_USER_REFRESH=5&CHAT_USER_ID=270e7fdd23b94d545a5ca4addb13e13e HTTP/1.0" 200 2189 "http://xxx/htdocs/chat/chat-main.php?uname=Marcel23&CHAT_USER_ID=270e7fdd23b94d545a5ca4addb13e13e" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 4.0)"


da kann ich auch nachvollziehen, was der User gemacht hat.


Danke für eure Hilfe
Michael

BoSSlAnD
27.06.02, 16:07
hehe jo ganz einfach =))

die obere zeile scheint NIMDA (der wurm) zu sein.

die untere zeile schein ein SCANNER für Apache Exploits zu sein.
wenn du deine apacheversion aktuell hältst, sollte das alles nichts passieren.

könnte allerdings auch ein CHAT ?! sein den du installiert hast
und der in er URL ein paar variablen mitgibt ...

nimda ist leider immernoch im umlauf ... von daher wirste diese zeilen noch öfter sehen =))

aber keine sorge
hab ich auch tonnenweise =))

MfG

Peter

BeaTtheMeaT666
27.06.02, 16:34
nachdem ich grad mal meine apache-logfiles nach ".exe" durchsucht hab, interessiert mich das nun auch.

diese kinderspielereine können dem indianer aber nix anhaben, oder irre ich da ?

BoSSlAnD
27.06.02, 16:40
hehe, noe, wie denn auch??

../winnt/system32/cmd.exe
oder hast du bei dir nen verzeichnis WINNT und kannste exe datein ausführen.
nene das ist für Buggy M$ II$ ;-)
da kannste dann z.b. nen Dirlist von c:\ bekommen
durch die sogenannten UNICODE-BUGS

aber apache juckt das nicht die bohne
ist hald ne "Seite" dies nicht gibt, aus ende =)


gibt natürlich auch solche EXPLOITS für apache... aber seeeeeeeeeehr seeeeeehr selten =)))

MfG

Peter

dunervst
29.06.02, 19:10
Ich danke für die Infos. Wo kann ich mir Informationen holen, über die neusten Exploits vom Apache ???

Danke
Michael

Jinto
29.06.02, 20:06
hier z. B. http://http://www.apacheweek.com/
oder auf durch die Security Newsletter deiner Distribution
oder ...