|
| Suspekt www request Fra : Thomas H. Allin |
Dato : 19-07-01 21:29 |
|
| |
Kent Friis (19-07-2001)
| Kommentar Fra : Kent Friis |
Dato : 19-07-01 21:41 |
|
Den Thu, 19 Jul 2001 22:28:58 +0200 skrev Thomas H. Allin:
>Dav,
>
>har på min private apache 1.3.20 www-server haft følgende request
>
>"GET
>/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3
>%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
>HTTP/1.0"
>
>gentaget ca. 20 gange fra kl. 19 til 22, alle gange fra forskellige
>IP-adresser. I min errorlog står der for hvert af disse besøg
>
>"Client sent malformed Host header"
>
>Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
>fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
>foregår der? Leder nogen efter www-servere med huller i?
IIS...
Mvh
Kent
--
F0 0F C7 C8 - Intel Pentium bug
| |
Kenneth Plettner (19-07-2001)
| Kommentar Fra : Kenneth Plettner |
Dato : 19-07-01 21:44 |
|
Hej Thomas.
Ja, det er et forsøg på at kompromitere en IIS server - jeg har samme entry
i mine intrusion detection systemer - Er det ikke utroligt at hackere er så
amatøragtige at de ikke finder ud af, hvilken webserver der kører i
baggrunden før de skyder løs !? - Endvidere har jeg identificeret en del af
amatørene, som nu kan forvente en lille hilsen fra deres ISP.
Kenneth Plettner
technical architect - MCSE
"Thomas H. Allin" <tha@gfy.ku.dk> wrote in message
news:Pine.LNX.4.33.0107192210250.18300-100000@gaia.gfy.ku.dk...
> Dav,
>
> har på min private apache 1.3.20 www-server haft følgende request
>
> "GET
>
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3
>
%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00
c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0"
>
> gentaget ca. 20 gange fra kl. 19 til 22, alle gange fra forskellige
> IP-adresser. I min errorlog står der for hvert af disse besøg
>
> "Client sent malformed Host header"
>
> Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
> fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
> foregår der? Leder nogen efter www-servere med huller i?
>
> Thomas
>
| |
Andreas Plesner Jaco~ (19-07-2001)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 19-07-01 21:49 |
|
In article <9j7gr9$1lh7$1@news.cybercity.dk>, Kenneth Plettner wrote:
>
> Ja, det er et forsøg på at kompromitere en IIS server - jeg har samme entry
> i mine intrusion detection systemer - Er det ikke utroligt at hackere er så
> amatøragtige at de ikke finder ud af, hvilken webserver der kører i
> baggrunden før de skyder løs !? - Endvidere har jeg identificeret en del af
> amatørene, som nu kan forvente en lille hilsen fra deres ISP.
Når du nu tilføjer sådan noget til din IDS burde du også vide at det er
en orm (Code Red), og de maskiner der angriber din maskine sandsynligvis
ikke har været vidende om dette angreb.
--
Andreas Plesner Jacobsen | Sorry never means having your say to love.
| |
Thomas Jespersen (19-07-2001)
| Kommentar Fra : Thomas Jespersen |
Dato : 19-07-01 21:49 |
|
"Thomas H. Allin" <tha@gfy.ku.dk> writes:
> Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
> fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
> foregår der? Leder nogen efter www-servere med huller i?
Ja IIS:
http://www.eeye.com/html/Research/Advisories/AD20010618.html
| |
Kaj S. Laursen (20-07-2001)
| Kommentar Fra : Kaj S. Laursen |
Dato : 20-07-01 07:59 |
|
"Thomas Jespersen" <thomas@daimi.au.dk> wrote in message
news:y4nk814zltl.fsf@rogue.daimi.au.dk...
> "Thomas H. Allin" <tha@gfy.ku.dk> writes:
>
> > Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
> > fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
> > foregår der? Leder nogen efter www-servere med huller i?
>
> Ja IIS:
> http://www.eeye.com/html/Research/Advisories/AD20010618.html
Og:
http://www.cert.org/advisories/CA-2001-19.html
Der står bla. at alle komprimiterede systemer, der søger efter
sikkerhedshullet, bruger samme random seed generator - derfor er det de
samme IP-adresser de alle forsøger sig med. Så Thomas H. Allin kan nok
forvente at der kommer mere end de 20
Kaj
| |
|
|