|
| Forsøg på hacking eller hvad. ?? Fra : L.K. |
Dato : 17-06-04 08:13 |
|
Jeg køre et par hjemmesider fra min server (WinXP), og sidder nu og kigger
lidt i loggen, og har fundet følgende tekst.
20:10:02 80.62.33.7 GET /scripts/root.exe 404
20:10:07 80.62.33.7 GET /MSADC/root.exe 404
20:10:11 80.62.33.7 GET /c/winnt/system32/cmd.exe 404
20:10:15 80.62.33.7 GET /d/winnt/system32/cmd.exe 404
20:10:19 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:10:23 80.62.33.7 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 500
20:10:27 80.62.33.7 GET
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
20:10:31 80.62.33.7 GET
/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404
20:10:34 80.62.33.7 GET /scripts/..Á../winnt/system32/cmd.exe 404
20:10:39 80.62.33.7 GET /scripts/winnt/system32/cmd.exe 404
20:10:43 80.62.33.7 GET /winnt/system32/cmd.exe 404
20:10:47 80.62.33.7 GET /winnt/system32/cmd.exe 404
20:10:54 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:10:58 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:11:05 80.62.33.7 GET /scripts/..%5c../winnt/system32/cmd.exe 404
20:11:09 80.62.33.7 GET /scripts/..%2f../winnt/system32/cmd.exe 404
22:58:08 64.68.81.176 GET /robots.txt 404
Er dette et forsøg på at hacke mig, og lykkes det for dem.
Ved godt hvad cmd.exe er.
L.K.
| |
Anders Lund (17-06-2004)
| Kommentar Fra : Anders Lund |
Dato : 17-06-04 08:35 |
|
L.K. wrote:
[Udklip af log]
> Er dette et forsøg på at hacke mig, og lykkes det for dem.
> Ved godt hvad cmd.exe er.
Ja, der står sikkert en eller anden Windåse maskine som er inficeret med
en eller anden orm. Den prøver så at smitte din maskine. "robots.txt" er
dog ikke farlig.
Om det er lykkedes - sikkert ikke - hvis du har været flittig med
Windows update.
Ellers er google altid et godt sted at starte...
--
Anders Lund - spam2004@andersonline.dk
| |
Brian R. Jensen (17-06-2004)
| Kommentar Fra : Brian R. Jensen |
Dato : 17-06-04 09:08 |
|
"L.K." <aliveinc@yahoo.dk> skrev i en meddelelse
news:40d14483$0$493$edfadb0f@dread14.news.tele.dk...
> Jeg køre et par hjemmesider fra min server (WinXP), og sidder nu og kigger
> lidt i loggen, og har fundet følgende tekst.
> 20:10:02 80.62.33.7 GET /scripts/root.exe 404
> 20:10:07 80.62.33.7 GET /MSADC/root.exe 404
[klip]
Det er en virus/orm, svjh er det Nimda eller CodeRed - check selv via
Google.
Sørg for at din maskine er patchet.
> 22:58:08 64.68.81.176 GET /robots.txt 404
Søgemaskine der ser efter om du har en robots.txt, se mere på:
http://www.robotstxt.org/wc/robots.html
/Brian
| |
Thomas Strandtoft (17-06-2004)
| Kommentar Fra : Thomas Strandtoft |
Dato : 17-06-04 21:08 |
|
"L.K." wrote:
> Er dette et forsøg på at hacke mig, og lykkes det for dem.
> Ved godt hvad cmd.exe er.
Der står 404 efter de flest forsøg = file not found - dvs. der er
blevet spurgt efter en fil din server ikke har.. Så er der en
enkelt 500 som er en Internal Server Error der betyder noget i
stil med at serveren er blevet spurgt om en ydelse den ikke kan
eller vil levere.. Så nej, det er ikke lykkedes for den inficerede
maskiner at få hul igennem til din, alle de "kreative" forsøg er
blevet afvist..
--
Hygge..
Thomas
< http://www.carftp.com> - a library of car videos.
| |
L.K. (20-06-2004)
| Kommentar Fra : L.K. |
Dato : 20-06-04 06:40 |
|
"L.K." <aliveinc@yahoo.dk> skrev i en meddelelse
news:40d14483$0$493$edfadb0f@dread14.news.tele.dk...
> Jeg køre et par hjemmesider fra min server (WinXP), og sidder nu og kigger
> lidt i loggen, og har fundet følgende tekst.
>
> 20:10:02 80.62.33.7 GET /scripts/root.exe 404
Klip-Klip
>
> Er dette et forsøg på at hacke mig, og lykkes det for dem.
> Ved godt hvad cmd.exe er.
>
> L.K.
>
>
Tak for svarene, har nu sidet og kigget lidt mere i min log, og kan se
næsten samme ip adresse gå igen.
80.62.125.141
80.62.33.68
80.62.33.7
80.62.33.225
Har slået op på ripe.net, og fundet frem til at de måske stammer fra en TDC
kunde, er det muligt at det er en TDC kunde der har fået sig en virus, eller
en den synes det er sjovet at prøve at hacke min server, han prøver ca.
hverdag.
Og burde man anmelde dette til TDC.
L.K.
| |
Alex Holst (20-06-2004)
| Kommentar Fra : Alex Holst |
Dato : 20-06-04 12:09 |
|
L.K. wrote:
> Tak for svarene, har nu sidet og kigget lidt mere i min log, og kan se
> næsten samme ip adresse gå igen.
Hvis du ikke har dokumenteret klare retningslinier, eller i det mindste
ved hvordan du vil reagere paa bestemte log entries, hvorfor bruger du
saa tid paa det?
Din nuvaerende fremgangsmaade er spild af din tid.
Se endvidere relevante spoergsmaal og svar i OSS'en.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
|
|