Kandu.dk - Webserver log - mistænkelige requests


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Webserver log - mistænkelige requests
Fra : IB

Dato : 18-06-02 13:51

Jeg har adskellige gange fundet noget lignende i min access.log for min
apache webserver:

<24.196.191.32 - - [18/Jun/2002:14:21:48 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 310 "-" "-">
<213.221.189.10 - - [18/Jun/2002:14:35:11 +0200] "CONNECT
213.221.189.10:6660 HTTP/1.0" 405 289 "-" "-">

Hver gang er det fra en ny ip, men er der nogen der ved hvilket huller,
ovenstående prøver at udnytte, og i tilfælde af at det skulle lykkes, hvad
ville det så resultere i??

Jeg går ikke umiddelbart ud fra at det er noget jeg skal bekymre mig så
meget om, men det er irriterende at få loggen fyldt op med disse requests.

Mvh Ib

Ps: Apache v. 1.3.24

Kasper Dupont (18-06-2002)

Kommentar
Fra : Kasper Dupont

Dato : 18-06-02 15:32

IB wrote:
>
> Jeg har adskellige gange fundet noget lignende i min access.log for min
> apache webserver:
>
> <24.196.191.32 - - [18/Jun/2002:14:21:48 +0200] "GET
> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
> u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 400 310 "-" "-">
> <213.221.189.10 - - [18/Jun/2002:14:35:11 +0200] "CONNECT
> 213.221.189.10:6660 HTTP/1.0" 405 289 "-" "-">
>
> Hver gang er det fra en ny ip, men er der nogen der ved hvilket huller,
> ovenstående prøver at udnytte, og i tilfælde af at det skulle lykkes, hvad
> ville det så resultere i??
>
> Jeg går ikke umiddelbart ud fra at det er noget jeg skal bekymre mig så
> meget om, men det er irriterende at få loggen fyldt op med disse requests.
>
> Mvh Ib
>
> Ps: Apache v. 1.3.24

Det spørgsmål er blevet stillet og besvaret
tusindvis af gange før:
http://www.google.com/search?q=%2Fdefault.ida%3F

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Troels Arvin (18-06-2002)

Kommentar
Fra : Troels Arvin

Dato : 18-06-02 16:37

On Tue, 18 Jun 2002 14:51:10 +0200, IB wrote:

> <24.196.191.32 - - [18/Jun/2002:14:21:48 +0200] "GET
> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
> u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 400 310 "-" "-">

Du har ikke noget at frygte. Den slags requests har det svirret med i stor
stil i over et halvt år. 24.196.191.32 er sikkert Windows-server inficeret
med en orm (Nimda, så vidt jeg husker). Ormen forsøger at finde andre
Windows-servere (upatch'ede ISS'er) at inficere.

--
Greetings from Troels Arvin, Copenhagen, Denmark

IB (18-06-2002)

Kommentar
Fra : IB

Dato : 18-06-02 20:52

"Troels Arvin" <troels@arvin.dk> wrote in message
news:3d0f53a9$0$80395$edfadb0f@dspool01.news.tele.dk...
> Du har ikke noget at frygte. Den slags requests har det svirret med i stor
> stil i over et halvt år. 24.196.191.32 er sikkert Windows-server inficeret
> med en orm (Nimda, så vidt jeg husker). Ormen forsøger at finde andre
> Windows-servere (upatch'ede ISS'er) at inficere.

Takker, tænkte nok at det var noget i den stil.
Men hvad med den anden?? Er der nogen der har hørt om den før?
<213.221.189.10 - - [18/Jun/2002:14:35:11 +0200] "CONNECT
213.221.189.10:6660 HTTP/1.0" 405 289 "-" "-">

Mvh Ib

Peter Brodersen (18-06-2002)

Kommentar
Fra : Peter Brodersen

Dato : 18-06-02 21:24

On Tue, 18 Jun 2002 21:51:44 +0200, "IB" <IB@getgod.dk00> wrote:

>Men hvad med den anden?? Er der nogen der har hørt om den før?
><213.221.189.10 - - [18/Jun/2002:14:35:11 +0200] "CONNECT
>213.221.189.10:6660 HTTP/1.0" 405 289 "-" "-">

Der er vist flere, der har fået den slags hits fra IP-adresser i det
område:
http://www.google.com/search?hl=da&ie=UTF8&oe=UTF8&q=CONNECT+6660+HTTP%2F1.0&lr=

--
- Peter Brodersen

Martin (24-06-2002)

Kommentar
Fra : Martin

Dato : 24-06-02 11:34

"IB" <IB@getgod.dk00> wrote in message
news:aeo314$1hi7$1@news.cybercity.dk...
> Takker, tænkte nok at det var noget i den stil.
> Men hvad med den anden?? Er der nogen der har hørt om den før?
> <213.221.189.10 - - [18/Jun/2002:14:35:11 +0200] "CONNECT
> 213.221.189.10:6660 HTTP/1.0" 405 289 "-" "-">

Det ligner noget proxyscan fra en eller anden IRC server, jeg ved quakenet
scanner efter div. åbne proxies på ens ip når man connecter til en quakenet
server, så mon ikke det er sådan noget?

Mvh
Martin

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste