Matze: Hackversuche......

Servus, keine Sorge ich will nicht hackn weder beginen noch sonst was.
Auf einem meiner Srver treibt sich ein Pseudo cooler hacker rum und versucht meine Linux mühle mit allen mitteln der Macht zu hacken.
dabei fällt mmir jedoch immer wieder auf, dass die Pfieffe folgenden URL aufruft. /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX usw.
Kann mir jemand sagen wozu dieses ida geraffel gehört und was der Typ damit erreichen will?

Soweit Ich weiss gehört das ida Zeug zum IIS von Microsoft.
Nur schade, dass ich sowas nicht betreibe.

Ausserdem verstehe Ich die jämmerlichen Versuche die Kiste zu hacken in keinster weise. Vor dem System hängt eine Firewall die aber auch nur http auf Port 80 durchlässt alles andere oder file transfer in unsere Richtun wird abgeblockt.

Kapieren dies einige nicht oder was ist das los?

  1. Hallo,

    Kapieren dies einige nicht oder was ist das los?

    Da brauchst du dir keine Sorgen machen. Es nur dieser lächerliche Code Red Wurm. http://www.apacheweek.com/features/codered

    $xNeTworKx.

    --
    Mit Computern lösen wir Probleme, die wir ohne sie gar nicht hätten.
    1. Herje den Roten Wurm gibt es immer noch....:-))
      Dachte der wäre längst ausgestorben.

      Dafür habe ich noch so ein netten versuch...
      Da ich meine H?P ab und an mit Frontpage modifiziere hat sich auf der einen oder anderen seite der titel c:/web usw. eingeschlichen.

      Hihi versucht doch tatsächlich jemand nun cmd oder ähnliches aufzurufen. ausserdem seit wann gibt es eigentlich eine root.exe auf windwos?
      Auf linux heisst die bestimmt nicht root.exe.

      Was mich jedoch durachaus etwas beunrihigt ist folgendes... /_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
      Ich meine gut es ist ein Linux aber er könnte doch auch eine Linux executable damit ausführen oder?
      Mein apache ist zwar nicht dafür konfiguriert etwas anderes als jsp oder pl auszuführen aber generll ist es doch denkbar... Wozu eigentlich %5c wofür steht das?
      Es gibt noch einige mehr % sonstwas angaben.

      Wa soll eigentlch damit bezweckt werden?

      1. hi,

        Was mich jedoch durachaus etwas beunrihigt ist folgendes... /_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
        Wozu eigentlich %5c wofür steht das?
        Es gibt noch einige mehr % sonstwas angaben.

        sonderzeichen, die in einem URL nicht erlaubt sind, müssen durch ihre hex-schreibweise kodiert werden. dazu dient ein prozent-zeichen, gefolgt von zwie hexadezimalen ziffern.

        gruss,
        wahsaga

        1. Naja soweit habe ich mir das schon auch gedacht aber
          was steckt hinter %5c ?? Und was will der typ damit erreichen?

          1. Hi,

            was steckt hinter %5c ??

            Afaik der Backslash.
            Siehe auch http://www.torsten-horn.de/techdocs/ascii.htm

            Viele Grüße
            Torsten

            --
            Wäre Stoizismus eine Programmiersprache, würde ich ein Experte sein.
  2. Hallo!

    Also ich verstehe das auch nicht so ganz. Ich habe einen Webserver vor wenigen Tagen aufgesetzt, die Domain existiert erst sein wenigen Tagen, die Subdomain erst 2 Tage. Aber obwohl ich die ganze Zeit daran arbeite, sind von ca. 10.000 Requests mehr als die Hälfte von irgendwelchen komischen T-Online Leuten, immer an irgendwelche IIS-kritischen Scripte. Und mit sinnlosen HTTP-Auth-Daten... wie kann das denn sein? Oder kommt die über die IP? Ich muss mal Hostnamen mitloggen, denn wie sollen die sonst an die Adresse kommen? Raten die einfach wild drauf los und wenn eine Adresse mit Webserver gefunden wurde wird so alles an Exploits versucht? Muss ich mit bei Apache 1.3.27 irgendwelche Sorgen machen?

    Grüße
    Andreas

    1. Die meisten verwenden hierbei Port Scanner etc. Ausserdm wie schon in den antworten steht, ist der Red Worm etc, unterwegs
      Die Würmer Scannen eben auch durch internet und versuchen jede x beliebige IP Kombination in der hoffnung ein Opfer zu finden.

      Allerdings war meine Beobachtung etwas anderster.
      Als Icvh hier mal auf meine Adresse verwies, kamen prompt einige die versucht haben das System zu hacken.
      Bis zum heutigen Tag hat es noch keiner geschaft Ich hoffe ml das bleibt so.
      Ohnehin ist die Firewall so dicht, dass eigentlich nicht mehr als HTTP Anfragen und das Laden von html Dateien erlaubt ist. Alles andere wird abgewehrt.

      1. Hi!

        Bis zum heutigen Tag hat es noch keiner geschaft Ich hoffe ml das bleibt so.
        Ohnehin ist die Firewall so dicht, dass eigentlich nicht mehr als HTTP Anfragen und das Laden von html Dateien erlaubt ist. Alles andere wird abgewehrt.

        Mit solchen Sätzen sollte man besser vorsichtig sein... nur so als Tipp!

        Grüße
        Andreas