Hallo,

was tun bei andauernden Nimbda/Code-Red Angriffen auf den eigenen Web-Server ?

Habe im letzten Jahr von IIS (uralt 3.0) unter M$ auf Apache unter Linux umgestellt, nach einem Plattencrash von NT (Nein, nicht Nimbda oder Code-Red waren die Ursache, alle entsprechend codierten Angriffe wurden ordnungsgemäß mit 404 beantwortet...).

Trotzdem, auch nach Umstellung von Windows-NT auf Linux und von IIS3 auf Apache, immer noch zu Hauf Angriffsversuche, so zeigt es das Logbuch. Einer der Angreifer ist ganz besonders hartnäckig und versucht's seit Wochen alle paar Minuten (212.55.137.10) mit Zugriff auf "/scripts/cmd.exe?..." etc.

Passieren kann da zwar nichts, aber es macht unnötigen Traffic auf einer 64K Leitung und füllt auch das Logbook. Whois-Suche nach dem Admin und Benachrichtigung per e-mail brachte nichts, möglicherweise sind ja in Portugal gerade Ferien...

-----------------------------------------
WARNUNG: Vor Eintippen der obengenannten IP, unbedingt die höchste Sicherheitsstufe im Internetexplorer einstellen, oder besser noch einen "Skript-unfähigen-Browser" benutzen, sonst ist's direkt passiert. Die Seite wurde offensichtlich gehackt, es wird mit "window.open" ein unsichtbares Fenster geöffnet, wo eine .eml Datei verborgen ist. Darum hier auch vorsichtshalber kein anklickbarer Link.
-----------------------------------------

Auch andere Angriffe kommen aus dem selben IP-Nummern-Bereich (212.55.xxx.xxx), aber das stört nicht so sehr, da viel seltener (1-2 Mal am Tag). Ich kann zwar den Zugriff aus diesem IP-Bereich blockieren, aber der Traffic bleibt natürlich durch die GET-Requests trotzdem erhalten.

Was kann man da wohl tun ?

CU Christoph