/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
http: Er der en fremling der kan styre min~
Fra : Kim


Dato : 26-04-04 21:33

Hej, jeg er ved at bygge en hjemmeside op og har installeret
en web server på min WinXP, i min log så jeg en finurlig ting:

194.204.130.81 - - [26/Apr/2004:02:53:39 +0100] "GET
/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 400 225 "" ""

Er der en der kan styrer min maskine nu, eller hva'?
[på "whois" eksisterer ip'en ikke, måske en super spoofer?]

Mvh. Kim (håber det er det rigtige sted jeg har postet).



 
 
Simon Lyngshede (26-04-2004)
Kommentar
Fra : Simon Lyngshede


Dato : 26-04-04 20:44

On Mon, 26 Apr 2004 21:32:39 +0100, Kim wrote:

> Hej, jeg er ved at bygge en hjemmeside op og har installeret en web server
> på min WinXP, i min log så jeg en finurlig ting:
>
> 194.204.130.81 - - [26/Apr/2004:02:53:39 +0100] "GET
> /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 400 225 "" ""
>
> Er der en der kan styrer min maskine nu, eller hva'? [på "whois"
> eksisterer ip'en ikke, måske en super spoofer?]
>
> Mvh. Kim (håber det er det rigtige sted jeg har postet).

Hvis din maskiner ellers er opdateret ville jeg ikke bekymre mig meget om
det. Det er et standard Nimbda eller Code Red angreb, Ja der er faktisk
nogle fjolser der stadig har disse old gamle virus'er. Mine log filer er
også fyldt med dem.

Hvis du har en ny og patchet IIS, så behøver du ikke bekymre dig
yderligere, det er lidt irriterende, men ikke alvorligt.


--
Simon

Kasper Dupont (26-04-2004)
Kommentar
Fra : Kasper Dupont


Dato : 26-04-04 21:29

Kim wrote:
>
> Hej, jeg er ved at bygge en hjemmeside op og har installeret
> en web server på min WinXP, i min log så jeg en finurlig ting:
>
> 194.204.130.81 - - [26/Apr/2004:02:53:39 +0100] "GET
> /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 400 225 "" ""

Nimda.

>
> Er der en der kan styrer min maskine nu, eller hva'?

Hvis du har valgt apache som din webserver så har du
ingen grund til bekymring. Kører du derimod med en
gammel udgave af IIS er din maskine måske allerede
inficeret.

> [på "whois" eksisterer ip'en ikke,

Jo:

[kasperd@erwin:pts/4] whois 194.204.130.81
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 194.204.130.0 - 194.204.130.255
netname: TPNET
descr: Commercial IP network of Polish Telecom
country: PL
[...]

> måske en super spoofer?]

Næppe. Det er stadig ikke nemt at spoofe en TCP
forbindelse (selvom det med lidt held kan være
muligt).

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */

Niels Callesøe (26-04-2004)
Kommentar
Fra : Niels Callesøe


Dato : 26-04-04 22:58

Kim wrote in <news:408d63a9$0$5938$d40e179e@nntp03.dk.telia.net>:

> Hej, jeg er ved at bygge en hjemmeside op og har installeret
> en web server på min WinXP, i min log så jeg en finurlig ting:
>
> 194.204.130.81 - - [26/Apr/2004:02:53:39 +0100] "GET
> /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 400 225 "" ""

Som Kasper sagde, det er Nimda. Med andre ord: det er baggrundsstøj.
Dem, og andre exploit attempts, kommer du til at se mange flere af. Som
du kan se, har din server svaret med en "400: Bad request". Det sker
der ikke noget ved. I øvrigt er det et IIS exploit, som din Apache ikke
hverken er eller har været sårbar overfor.

Ignorer dem, og spis noget af den mørke.

> Er der en der kan styrer min maskine nu, eller hva'?

Nej.

> [på "whois" eksisterer ip'en ikke, måske en super spoofer?]

Alle addresser kan slås op (selvom ikke alle kan routes). Se Kaspers
svar.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

Kim (27-04-2004)
Kommentar
Fra : Kim


Dato : 27-04-04 02:00

Tusind tak for jeres svar, så kan jeg tage det roligt igen.
Mvh. Kim


"Kim" <none@replyable.com> wrote in message
news:408d63a9$0$5938$d40e179e@nntp03.dk.telia.net...
> Hej, jeg er ved at bygge en hjemmeside op og har installeret
> en web server på min WinXP, i min log så jeg en finurlig ting:
>
> 194.204.130.81 - - [26/Apr/2004:02:53:39 +0100] "GET
> /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 400 225 "" ""
>
> Er der en der kan styrer min maskine nu, eller hva'?
> [på "whois" eksisterer ip'en ikke, måske en super spoofer?]
>
> Mvh. Kim (håber det er det rigtige sted jeg har postet).
>
>



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste