PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Merkwürdige Aufrufe oder was?!?



LordDarkmage
29.11.02, 21:33
Hi @ All

Ich habe gerade mal in /var/log/apache/access.log reingesehen und folgende Einträge gefunden, die mir irgendwie etwas schleierhaft sind.


80.142.220.85 - - [29/Nov/2002:19:20:53 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 290 "-" "-"
80.142.220.85 - - [29/Nov/2002:19:20:53 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 288 "-" "-"
80.142.220.85 - - [29/Nov/2002:19:20:54 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
80.142.220.85 - - [29/Nov/2002:19:20:54 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
80.142.220.85 - - [29/Nov/2002:19:20:55 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312 "-" "-"
80.142.220.85 - - [29/Nov/2002:19:20:55 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329 "-" "-"
80.142.220.85 - - [29/Nov/2002:19:20:56 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 329 "-" "-"
80.142.220.85 - - [29/Nov/2002:19:20:56 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
" 404 345 "-" "-"

Kann mir irgendjemand erklären was das ist? Sind das sowas wie Hackversuche oder was heißt das für mich???

Thx
LordDarkmage

Jinto
29.11.02, 21:38
oben Rechts gibts eine Suchfunktion.

LordDarkmage
29.11.02, 21:53
Original geschrieben von Jinto
oben Rechts gibts eine Suchfunktion.
:ugly: :ugly: :ugly: :ugly:
Toll... Was soll ich denn eingeben??? Vielleicht root, root.exe, GET, die IP, 404 oder was? *grummel* Ist ja net so als wenn mir die Suchfunktion fremd wäre. Ich verwende die immer bevor ich Fragen stelle, aber manchmal ist halt eine Frage im Forum nötig, wenn man die Antwort darauf net so einfach findet.

Trotzdem danke und ich versuch´s nochmal mit der Suchfunktion...

Thx

MfG
LordDarkmage

HangLoose
29.11.02, 23:08
hi

hier ;) => http://www.linuxforen.de/forums/showthread.php?s=&threadid=47105&highlight=nimda


Gruß HangLoose

RapidMax
29.11.02, 23:09
Toll... Was soll ich denn eingeben??? Vielleicht root, root.exe, GET, die IP, 404 oder was? *grummel*
Ja das hilft. Ansonsten sei noch auf folgende Stichworte verwiesen: Nimba, Virus

Gruss, Andy

DustPuppy
29.11.02, 23:18
da meint ein dau wohl er muss gleich sein neues "hackers black book" ausprobieren...

HangLoose
29.11.02, 23:26
hi

@RapidMax

genau das ist das problem manchmal, wenn man weiß wonach man suchen muß, findet man die threads auch. ich hab das stichwort *wurm* benutzt. ;)



Gruß HangLoose

RapidMax
29.11.02, 23:35
Jep, deshalb hat es hier auch schon einige Diskussionen über dieses Thema gegeben: Wenn man auf die Suchfunktion verweist, was immer wieder und wieder nötig ist, so sollte man doch gleich ein paar Stichworte mitgeben. :)

Gruss, Andy

taylor
29.11.02, 23:57
Original geschrieben von RapidMax
Wenn man auf die Suchfunktion verweist, was immer wieder und wieder nötig ist, so sollte man doch gleich ein paar Stichworte mitgeben. :)

ACK, alles andere ist wenig hilfreich.

Gruß,
Taylor

DustPuppy
30.11.02, 01:13
und wirkt abweisend und unhöflich, nur mal so nebenbei.

Jinto
30.11.02, 05:15
Jungs nur mal so nebenbei:
Er hat die Suchbegriffe doch schon selbst vorgegeben. Da braucht man nichts mit Wurm o. ä.

Ihr macht mir ja Spaß. Wenn ich hier nur mal so aus Jux *root.exe* eingebe gibt es hier allein 6 Beiträge zu denen ich irgendwas geantwortet habe. Von den restlichen Möglichkeiten die es gibt um auf die gleichen Beiträge zu kommen, will ich erst gar nicht Anfangen.

Das verweisen auf die Suchfunktion ist weder unhöflich noch unnütz.

Kurzum eure Suchbegriffe sind Humbug, denn das Problem ist genau vorgegeben und bereits mehr als einmal Diskutiert worden.

IMO könnt ihr mit eurem Einwand wiederkommen, wenn die Problem so ungenau ist, dass zusätzliche Begriffe notwendig wären.

@Taylor
lies dir doch mal deinen eigenen Link durch:http://www.fruiture.de/perl/questions.html#vor *SCNR*

LordDarkmage
30.11.02, 08:44
Oki, hab´s geschnallt... Also handelt es sich tatsächlich um einen Scan/Hackangriff, sehe ich das richtig? Wie kann ich den Penner denn quit werden?
Mir hat mal einer verzappt, dass man IPs von Hackangriffen umleiten kann, so dass der Idiot sich selbst hackt.

Ehrlich gesagt geht mir das jetzt tierisch auff´n Sack. *knurrr* Man, da will man nur ein wenig "on" sein und dann kommt da gleich so ein Arsch und versucht den Router zu hacken. :mad:

MfG
LordDarkmage

sepp2k
30.11.02, 09:04
Naja ein Hackangriff ist es schon allerdings versucht kein Hacker dich zu hacken sondern ein Wurm. Das heißt im Klartext, dass der dem die IP gehört von wo aus die Requests kommen auch nur ein Opfer des Wurms ist. Außerdem kanns dir doch egal sein, wenn jemand versucht bei dir auf Windows-Systemdateien bei dir zuzugreifen

Ulli Ivens
30.11.02, 09:07
Wieso.... das ist doch nur ein Wurm.... da du linux auf dem Router hast ist das doch eh latte, oder ??

Bläht nur die Logs ein weig auf. Also "Don`t panic"

feuerwand
30.11.02, 09:36
Morgen,
Suchenfunktion Wenn man 2-3 Begriffe aus den Logs in der Suchenfunktion eingibt, bekommt man schon genuegend Threads um zu verstehen, dass es sich hier um Nimda oder Code Red handelt. Mit diesen beiden Begriffen kann man dann noch google fuettern. Wenn man das gemacht hat (und das kann man von einem Jugendlichen oder Erwachsenen erwarten), bekommt man folgende Informationen ueber die Verbreitung des Wurms und somit auch die Eintraege in den Logs:

der Wurm scannt IP-Ranges ab und hofft, einen MS IIS zu finden. Und es kann nunmal vorkommen, dass du eine dieser IPs hast.
Falls der Wurm dann fuendig wurde, kopiert er sich selbst via TFTP auf den Server und infiziert diesen (inklusive aller Rechner im Lan, auf die er via "Ordnerfreigabe" zugriff hat). Der Wurm legt dann eine Datei namens readme.eml in allen Verzeichnissen ab.
Falls sich in einem der obigen Verzeichnisse dann HTML oder ASP Dateien liegen, bekommen diese einen kleinen Zusatz (JS), der den Wurm beim Aufruf der Seite auf das eigene System kopiert.

Das ist jetzt die grobe Funktionsweiße von dem Wurm.
Die Logs, die du da bei dir hast, sind genau diese Scanns. Da du aber keinen IIS / kein Windows hast, kann dir das NICHTS machen. Diese Eintraege hat jeder, der einen Webserver hat, in seinen Logs.

Ich hofffe, dir ist jetzt klar, dass dich da niemand wirklich hacken will.

Simon

LordDarkmage
30.11.02, 10:23
hmmpf... naja ok... Dann ist also derjenige also auch nur Opfer dieses Wurms.

Also einerseits bin ich ja erleichtert, andererseits nervt´s trotzdem ein wenig. *abwinkt* Egal, dann lass ma dat mal ;)

Thx 4 help

MfG
LordDarkmage

READY
02.12.02, 14:05
es muss nicht umbedingt so ein "Wurm" sein, es gibt auch genügend andere Leute, die nach IIS Exploits scannen..