Kandu.dk - Forsøg på hacking eller hvad. ??


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Forsøg på hacking eller hvad. ??
Fra : L.K.

Dato : 17-06-04 08:13

Jeg køre et par hjemmesider fra min server (WinXP), og sidder nu og kigger
lidt i loggen, og har fundet følgende tekst.

20:10:02 80.62.33.7 GET /scripts/root.exe 404
20:10:07 80.62.33.7 GET /MSADC/root.exe 404
20:10:11 80.62.33.7 GET /c/winnt/system32/cmd.exe 404
20:10:15 80.62.33.7 GET /d/winnt/system32/cmd.exe 404
20:10:19 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:10:23 80.62.33.7 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500
20:10:27 80.62.33.7 GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
20:10:31 80.62.33.7 GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404
20:10:34 80.62.33.7 GET /scripts/..Á../winnt/system32/cmd.exe 404
20:10:39 80.62.33.7 GET /scripts/winnt/system32/cmd.exe 404
20:10:43 80.62.33.7 GET /winnt/system32/cmd.exe 404
20:10:47 80.62.33.7 GET /winnt/system32/cmd.exe 404
20:10:54 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:10:58 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:11:05 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:11:09 80.62.33.7 GET /scripts/..%2f../winnt/system32/cmd.exe 404

22:58:08 64.68.81.176 GET /robots.txt 404

Er dette et forsøg på at hacke mig, og lykkes det for dem.
Ved godt hvad cmd.exe er.

L.K.

Anders Lund (17-06-2004)

Kommentar
Fra : Anders Lund

Dato : 17-06-04 08:35

L.K. wrote:

[Udklip af log]

> Er dette et forsøg på at hacke mig, og lykkes det for dem.
> Ved godt hvad cmd.exe er.

Ja, der står sikkert en eller anden Windåse maskine som er inficeret med
en eller anden orm. Den prøver så at smitte din maskine. "robots.txt" er
dog ikke farlig.

Om det er lykkedes - sikkert ikke - hvis du har været flittig med
Windows update.

Ellers er google altid et godt sted at starte...
--
Anders Lund - spam2004@andersonline.dk

Brian R. Jensen (17-06-2004)

Kommentar
Fra : Brian R. Jensen

Dato : 17-06-04 09:08

"L.K." <aliveinc@yahoo.dk> skrev i en meddelelse
news:40d14483$0$493$edfadb0f@dread14.news.tele.dk...
> Jeg køre et par hjemmesider fra min server (WinXP), og sidder nu og kigger
> lidt i loggen, og har fundet følgende tekst.

> 20:10:02 80.62.33.7 GET /scripts/root.exe 404
> 20:10:07 80.62.33.7 GET /MSADC/root.exe 404
[klip]

Det er en virus/orm, svjh er det Nimda eller CodeRed - check selv via
Google.

Sørg for at din maskine er patchet.

> 22:58:08 64.68.81.176 GET /robots.txt 404

Søgemaskine der ser efter om du har en robots.txt, se mere på:
http://www.robotstxt.org/wc/robots.html

/Brian

Thomas Strandtoft (17-06-2004)

Kommentar
Fra : Thomas Strandtoft

Dato : 17-06-04 21:08

"L.K." wrote:

> Er dette et forsøg på at hacke mig, og lykkes det for dem.
> Ved godt hvad cmd.exe er.

Der står 404 efter de flest forsøg = file not found - dvs. der er
blevet spurgt efter en fil din server ikke har.. Så er der en
enkelt 500 som er en Internal Server Error der betyder noget i
stil med at serveren er blevet spurgt om en ydelse den ikke kan
eller vil levere.. Så nej, det er ikke lykkedes for den inficerede
maskiner at få hul igennem til din, alle de "kreative" forsøg er
blevet afvist..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

L.K. (20-06-2004)

Kommentar
Fra : L.K.

Dato : 20-06-04 06:40

"L.K." <aliveinc@yahoo.dk> skrev i en meddelelse
news:40d14483$0$493$edfadb0f@dread14.news.tele.dk...
> Jeg køre et par hjemmesider fra min server (WinXP), og sidder nu og kigger
> lidt i loggen, og har fundet følgende tekst.
>
> 20:10:02 80.62.33.7 GET /scripts/root.exe 404
Klip-Klip
>
> Er dette et forsøg på at hacke mig, og lykkes det for dem.
> Ved godt hvad cmd.exe er.
>
> L.K.
>
>
Tak for svarene, har nu sidet og kigget lidt mere i min log, og kan se
næsten samme ip adresse gå igen.

80.62.125.141
80.62.33.68
80.62.33.7
80.62.33.225

Har slået op på ripe.net, og fundet frem til at de måske stammer fra en TDC
kunde, er det muligt at det er en TDC kunde der har fået sig en virus, eller
en den synes det er sjovet at prøve at hacke min server, han prøver ca.
hverdag.
Og burde man anmelde dette til TDC.

L.K.

Alex Holst (20-06-2004)

Kommentar
Fra : Alex Holst

Dato : 20-06-04 12:09

L.K. wrote:
> Tak for svarene, har nu sidet og kigget lidt mere i min log, og kan se
> næsten samme ip adresse gå igen.

Hvis du ikke har dokumenteret klare retningslinier, eller i det mindste
ved hvordan du vil reagere paa bestemte log entries, hvorfor bruger du
saa tid paa det?

Din nuvaerende fremgangsmaade er spild af din tid.

Se endvidere relevante spoergsmaal og svar i OSS'en.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Søg

Reklame

Statistik

Spørgsmål :	177552
Tips :	31968
Nyheder :	719565
Indlæg :	6408849
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste