/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Apatche Hack ?
Fra : Jan Mølgaard


Dato : 12-08-02 14:31

Jeg har sat en lille Linux web server op, efter ca. et døgn indeholder "
access_log" følgende. Hvilket jeg finder meget mistænkeligt.



-------access_log-------

80.197.34.188 - - [12/Aug/2002:14:38:20 +0200] "GET /scripts/root.exe?/c+dir
HTTP/1.0" 404 287
80.197.34.188 - - [12/Aug/2002:14:38:21 +0200] "GET /MSADC/root.exe?/c+dir
HTTP/1.0" 404 285
80.197.34.188 - - [12/Aug/2002:14:38:21 +0200] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
---------------------



Bør jeg være nervøs ?





MVH

Jan




 
 
Martin Dalum (12-08-2002)
Kommentar
Fra : Martin Dalum


Dato : 12-08-02 14:40

"Jan Mølgaard" <jm@hexdata.dk> writes:

> Jeg har sat en lille Linux web server op, efter ca. et døgn indeholder "
> access_log" følgende. Hvilket jeg finder meget mistænkeligt.
>
> -------access_log-------
>
> 80.197.34.188 - - [12/Aug/2002:14:38:20 +0200] "GET /scripts/root.exe?/c+dir
> HTTP/1.0" 404 287
> 80.197.34.188 - - [12/Aug/2002:14:38:21 +0200] "GET /MSADC/root.exe?/c+dir
> HTTP/1.0" 404 285
> 80.197.34.188 - - [12/Aug/2002:14:38:21 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
> ---------------------
>
> Bør jeg være nervøs ?

Nej.. Det du ser er en virus der forsøger at finde kendte bagdøre i
Microsoft's webserver IIS. Jeg kan ikke lige huske hvad virusen
hedder, men det er ca. et år siden at den "kom på markedet". Det er
ufatteligt at folk ikke har fået patchet og cleanet deres servere
endnu! Virusen scanner tilfældige IP'er for at finde andre servere at
inficere.

--
Venlig hilsen / Regards from,
Martin Dalum

TH (12-08-2002)
Kommentar
Fra : TH


Dato : 12-08-02 16:34

Hej,

> Jeg kan ikke lige huske hvad virusen hedder

Er det ikke Code Red?

/TH



Rasmus Bøg Hansen (12-08-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 12-08-02 16:54

TH wrote:

>> Jeg kan ikke lige huske hvad virusen hedder
>
> Er det ikke Code Red?

Jo, det er vist rigtigt - selvom jeg ikke er helt sikker på, hvordan man
kender forskel på den og nimda. Iøvrigt ser den - ifølge de postede
logfiler - efter to filer kaldet root.exe og cmd.exe. Det i sig selv giver
da en ret god indikation af at det næppe er et problem i apache under
Linux.

Google fortæller ellers ret hurtigt, at der ikke er grund til bekymring...

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I was going to compile a list of innovations that could be
attributed to Microsoft. Once I realized that Ctrl-Alt-Del
was handled in the BIOS, I found that there aren't any.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Adam Sjøgren (12-08-2002)
Kommentar
Fra : Adam Sjøgren


Dato : 12-08-02 15:13

On Mon, 12 Aug 2002 15:31:05 +0200, Jan Mølgaard wrote:

> 80.197.34.188 - - [12/Aug/2002:14:38:21 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295

> Bør jeg være nervøs ?

Kun hvis 80.197.34.188 er Windows-maskine du ejer.


Mvh.

--
"Så ruller domino-effekten. Adam Sjøgren
Du kender det selv!" asjo@koldfront.dk

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408885
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste