nicht angemeldet
Logs: Was bedeuten diese Angaben?
Hallo!
Ich habe beim regelmaessigen Durchschauen der Logs auf meinem Schlund-Server verschiedene sehr merkwuerdige Zugriffs-Angaben gefunden, mit denen ich nichts anfangen kann. Weiss jemand vielleicht, was das soll?
---schnipp---
http:///c/winnt/system32/cmd.exe
http:///d/winnt/system32/cmd.exe
http:///_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
http:///_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
http:///msadc/..%5c../..%5c../..%
5c/..Á ../..Á ../..Á ../winnt/system32/cmd.exe
http:///scripts/..Á ../winnt/system32/cmd.exe
http:///scripts/..Àß../winnt/system32/cmd.exe
http:///scripts/..Áœ../winnt/system32/cmd.exe
http:///scripts/..%2f../winnt/system32/cmd.exe
[http:///_mem_bin]
[http:///_vti_bin]
[http:///c]
[http:///d]
---schnapp---
Wieso steht da in meinen Logs ein Zugriff auf eine WinNT-System-Datei? Soweit ich weiss, arbeitet der Server sowieso mit Linux...
Danke schonmal und
Gruss,
Marc
-
Hallo!
Ich habe beim regelmaessigen Durchschauen der Logs auf meinem Schlund-Server verschiedene sehr merkwuerdige Zugriffs-Angaben gefunden, mit denen ich nichts anfangen kann. Weiss jemand vielleicht, was das soll?
Moin Moin !
Klar, da versucht jemand krampfhaft, Sicherheitslücken in Microsofts Internet Information Server (IIS) auszunutzen. (Und er ist zu faul/blöd, vorher nachzusehen, ob dort wirklich ein IIS läuft.)
Einfach ignorieren und genießen, daß Du kein Windows auf Deinem ("Deinem" ?) Server hast.
Alexander
---schnipp---
http:///c/winnt/system32/cmd.exe
http:///d/winnt/system32/cmd.exe
http:///_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
http:///_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
http:///msadc/..%5c../..%5c../..%
5c/..Á ../..Á ../..Á ../winnt/system32/cmd.exe
http:///scripts/..Á ../winnt/system32/cmd.exe
http:///scripts/..Àß../winnt/system32/cmd.exe
http:///scripts/..Áœ../winnt/system32/cmd.exe
http:///scripts/..%2f../winnt/system32/cmd.exe[http:///_mem_bin]
[http:///_vti_bin]
[http:///c]
[http:///d]
---schnapp---Wieso steht da in meinen Logs ein Zugriff auf eine WinNT-System-Datei? Soweit ich weiss, arbeitet der Server sowieso mit Linux...
Danke schonmal und
Gruss,
Marc-
Nabend!
Moin Moin !
Klar, da versucht jemand krampfhaft, Sicherheitslücken in Microsofts Internet Information Server (IIS) auszunutzen. (Und er ist zu faul/blöd, vorher nachzusehen, ob dort wirklich ein IIS läuft.)
Einfach ignorieren und genießen, daß Du kein Windows auf Deinem ("Deinem" ?) Server hast.
"mein Account auf einem Schlund Server" ;-)
Das sind aber ueber den Zeitraum von 6-7 Wochen einige hundert bis tausend Zugriffe. Sollte mich das nicht stoeren? Kann ich denn dagegen nichts tun?
Gruss,
Marc-
Hallo Marc!
Klar, da versucht jemand krampfhaft, Sicherheitslücken in Microsofts Internet Information Server (IIS) auszunutzen.
Dieser 'jemand' heisst Nimda, ist ein Wurm und seit letztem Sommer auf diversen stümperhaft verwalteten IIS Servern zuhause. Seitdem sind diese Zugriffe auf jeder Maschine zu beobachten die ans Internet angebunden ist.
Einfach ignorieren
ja!
Das sind aber ueber den Zeitraum von 6-7 Wochen einige hundert bis tausend Zugriffe. Sollte mich das nicht stoeren?
Das bleibt ganz dir überlassen. Insbesondere die Kombination Bluthochdruck und drüber aufregen ist nicht empfehlenswert.
Kann ich denn dagegen nichts tun?
Ausser deinen Account abmelden: Nein.
Gruss,
CarstenP.S.: http://www.google.com/search?q=c%2Fwinnt%2Fsystem32%2Fcmd.exe
-
-
-
hi
Wieso steht da in meinen Logs ein Zugriff auf eine WinNT-System-Datei? Soweit ich weiss, arbeitet der Server sowieso mit Linux...
das ist das Hintergrundrauschen des Internets - Würmer, Trojaner, Script-Kiddies - halt alles, was da so an Ungezifer kreucht und fleucht... Hat praktisch jeder, der 'ne eigene IP hat. Am schnellsten geht's auf Provat-PCs, die über T-DSL angebunden sind ;)
Grüße aus Bleckede
Kai