PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : blödsinnige angriff versuche



joschua
08.09.02, 03:28
Hi leute,
ich habe lokal ein kleiner testserver für ein paar scripts.
apache win2k

@win2k
bitte nicht schlagen! es ist ja nur ein testserver ;)

es zeigt nicht eine domain oder sonst was auf den server!
auch keine kunden haben darauf zugriff!

jedoch werden seit ein paar tagen immer die selben files auf dem server gesucht.die vorgehensweise ist immer die selbe. und bei den ip adressen handelt es sich immer (99%) um den selben einwahlprovider.

ich betreibe noch einen anständigen server ;)
darauf verzeichne ich diese versuche nie!

Frage:
Was bringt es sich beim provider zu beschweeren?
was geschieht mit solchen jungs?
tun die dann überghaubt was dagegen?

ungefähr so schaut das ganze aus:


[Sun Sep 08 01:44:43 2002] [error] [client 80.218.31.24] File does not exist: C:/Projects/scripts/..%5c
[Sun Sep 08 01:44:45 2002] [error] [client 80.218.31.24] File does not exist: C:/Projects/_vti_bin/..%5c
[Sun Sep 08 01:44:46 2002] [error] [client 80.218.31.24] File does not exist: C:/Projects/_mem_bin/..%5c
[Sun Sep 08 01:44:48 2002] [error] [client 80.218.31.24] File does not exist: C:/Projects/MSADC/..%5c
[Sun Sep 08 01:44:57 2002] [error] [client 80.218.31.24] File does not exist: C:/Projects/scripts/..%5c
[Sun Sep 08 01:44:58 2002] [error] [client 80.218.31.24] File does not exist: C:/Projects/scripts/..%2f
[Sun Sep 08 01:55:13 2002] [error] [client 80.218.99.32] File does not exist: C:/Projects/scripts/root.exe
[Sun Sep 08 01:55:13 2002] [error] [client 80.218.99.32] File does not exist: C:/Projects/MSADC/root.exe
[Sun Sep 08 01:55:13 2002] [error] [client 80.218.99.32] File does not exist: C:/Projects/c
[Sun Sep 08 01:55:13 2002] [error] [client 80.218.99.32] File does not exist: C:/Projects/d
[Sun Sep 08 01:55:13 2002] [error] [client 80.218.99.32] File does not exist: C:/Projects/scripts/..%5c
[Sun Sep 08 01:55:13 2002] [error] [client 80.218.99.32] File does not exist: C:/Projects/_vti_bin/..%5c
[Sun Sep 08 01:55:13 2002] [error] [client 80.218.99.32] File does not exist: C:/Projects/_mem_bin/..%5c
[Sun Sep 08 01:55:13 2002] [error] [client 80.218.99.32] File does not exist: C:/Projects/MSADC/..%5c
[Sun Sep 08 01:55:14 2002] [error] [client 80.218.99.32] File does not exist: C:/Projects/scripts/..%5c
[Sun Sep 08 01:55:14 2002] [error] [client 80.218.99.32] File does not exist: C:/Projects/scripts/..%2f
[Sun Sep 08 02:15:29 2002] [error] [client 80.218.89.75] File does not exist: C:/Projects/scripts/root.exe
[Sun Sep 08 02:15:29 2002] [error] [client 80.218.89.75] File does not exist: C:/Projects/MSADC/root.exe
[Sun Sep 08 02:15:29 2002] [error] [client 80.218.89.75] File does not exist: C:/Projects/c
[Sun Sep 08 02:15:29 2002] [error] [client 80.218.89.75] File does not exist: C:/Projects/d
[Sun Sep 08 02:15:29 2002] [error] [client 80.218.89.75] File does not exist: C:/Projects/scripts/..%5c
[Sun Sep 08 02:15:29 2002] [error] [client 80.218.89.75] File does not exist: C:/Projects/_vti_bin/..%5c
[Sun Sep 08 02:15:30 2002] [error] [client 80.218.89.75] File does not exist: C:/Projects/_mem_bin/..%5c
[Sun Sep 08 02:15:30 2002] [error] [client 80.218.89.75] File does not exist: C:/Projects/MSADC/..%5c
[Sun Sep 08 02:15:30 2002] [error] [client 80.218.89.75] File does not exist: C:/Projects/scripts/..%5c
[Sun Sep 08 02:15:30 2002] [error] [client 80.218.89.75] File does not exist: C:/Projects/scripts/..%2f


es werden immer die selben sachen gesucht.
ich könnte mir vorstellen das es sich um irgend ein sch.. tool handelt das die verzeichnisse absucht, denn ich hab mal zum test ein verzeichniss _vti_bin angelegt und ne passwords.php darin abgelegt.
diese hat bisher jedoch noch niemand berührt :( :D

wenn das so weitergeht!
werde ich ihnen halt die gewünschte root.exe zur verfügung stellen
aber ich weis nicht ob ihnen der vi... ähm die root.exe was bringen wird *höhnisch lach*

ist zwar nicht direkt eine linuxfrage...
aber ich werd mich bessern ;)

joschua

derRichard
08.09.02, 03:46
hallo!

das is kein junge sondern nur ein doofer windoof wurm(nimda,code red oder wie die heißen).
aber bei win2k kann der doch einigen schaden anrichten(komm auf den wurm an).
aber wenn du einen unix-server hast dann hast du außer komischen log-files nichst zu befürchten ;)

mfg
richard

p.s: der beitrag hätte besser unter "sicherheit" gepasst...

Jinto
08.09.02, 15:02
Wie bereits derRichard schrieb handelt es sich hier um Code Red/Nimda bzw. um den MSADC Bug im IIS.

Das wurde hier im Forum bereits einige Male durchgekaut. Zudem wäre es IMO in einem Windows-Forum besser aufgehoben, da es sich bei deinem System und auch beim Problem um ein reinrassige Windows-Problemstellung handelt=> Ist zwar nicht direkt eine linuxfrage... , ist eine schamlose Untertreibung:cool:

Trotzdem wäre es auch noch hilfreich gewesen, zu wissen welchen Webserver du verwendest, aber egal. Wie bereits beschrieben: betrifft AFAIK nur Windows/IIS

Sorry, hattest ja geschrieben: apache/w2k

Daim
08.09.02, 16:48
Sind einfach nur script kiddis die nach server suchen die für sie interesannt sind. Solange du Linux benutz passiert dir nichts.

cu Daim

derRichard
08.09.02, 16:51
Original geschrieben von Daim
Solange du Linux benutz passiert dir nichts.


gerade das is sein problem, er hat win2k :p

mfg
richard

Häschen
08.09.02, 17:23
lad dir nen patch von microsoft.com runter dann müssteer mal für eine weile sicher sein....zumindest der bug aber win hat ja 1000 andere ;)

Jinto
08.09.02, 19:16
@Daim
Oh mann, das mit den Script Kiddies kann ich nicht mehr hören....

@Häschen
Der Patch wird ihm nichts bringen, denn der ist für den IIS. Er verwendet den Apache, damit ist dieser Angriff wirkungslos.

Häschen
08.09.02, 19:38
aso wenn er apache verwendet dann schon ;)

Nighthawk
09.09.02, 14:17
Als ob Linux nicht 1000 Bugs hätte ;)

joschua
10.09.02, 20:39
hallo leute
herzlichen dank für eure hilfen.

ich gehe jedoch nicht davon aus das es sich um nen virus handelt.
bei den benannten dinger handelt es sich ja um viruse die webserver angreifen. somit wäre auf jeder ip irgendwas zu finden (per browser).

oder etwa nicht?

seltsamerweise habe ich solche sachen auf meinem webserver nie!?
da versucht höchstens der eine oder andere irgendwelche bilder oder sonstiges zu finden...
wie: password.txt usw :D

joschua

Jinto
11.09.02, 03:07
Ich nehme an, du meinst Webserver bei Puretec o.ä.

Stichwort: virtual hosts vs. IP Zugriff