/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Suspekt www request
Fra : Thomas H. Allin


Dato : 19-07-01 21:29



 
 
Kent Friis (19-07-2001)
Kommentar
Fra : Kent Friis


Dato : 19-07-01 21:41

Den Thu, 19 Jul 2001 22:28:58 +0200 skrev Thomas H. Allin:
>Dav,
>
>har på min private apache 1.3.20 www-server haft følgende request
>
>"GET
>/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3
>%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
>HTTP/1.0"
>
>gentaget ca. 20 gange fra kl. 19 til 22, alle gange fra forskellige
>IP-adresser. I min errorlog står der for hvert af disse besøg
>
>"Client sent malformed Host header"
>
>Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
>fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
>foregår der? Leder nogen efter www-servere med huller i?

IIS...

Mvh
Kent
--
F0 0F C7 C8 - Intel Pentium bug

Kenneth Plettner (19-07-2001)
Kommentar
Fra : Kenneth Plettner


Dato : 19-07-01 21:44

Hej Thomas.

Ja, det er et forsøg på at kompromitere en IIS server - jeg har samme entry
i mine intrusion detection systemer - Er det ikke utroligt at hackere er så
amatøragtige at de ikke finder ud af, hvilken webserver der kører i
baggrunden før de skyder løs !? - Endvidere har jeg identificeret en del af
amatørene, som nu kan forvente en lille hilsen fra deres ISP.

Kenneth Plettner
technical architect - MCSE

"Thomas H. Allin" <tha@gfy.ku.dk> wrote in message
news:Pine.LNX.4.33.0107192210250.18300-100000@gaia.gfy.ku.dk...
> Dav,
>
> har på min private apache 1.3.20 www-server haft følgende request
>
> "GET
>
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3
>
%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00
c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0"
>
> gentaget ca. 20 gange fra kl. 19 til 22, alle gange fra forskellige
> IP-adresser. I min errorlog står der for hvert af disse besøg
>
> "Client sent malformed Host header"
>
> Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
> fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
> foregår der? Leder nogen efter www-servere med huller i?
>
> Thomas
>



Andreas Plesner Jaco~ (19-07-2001)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 19-07-01 21:49

In article <9j7gr9$1lh7$1@news.cybercity.dk>, Kenneth Plettner wrote:
>
> Ja, det er et forsøg på at kompromitere en IIS server - jeg har samme entry
> i mine intrusion detection systemer - Er det ikke utroligt at hackere er så
> amatøragtige at de ikke finder ud af, hvilken webserver der kører i
> baggrunden før de skyder løs !? - Endvidere har jeg identificeret en del af
> amatørene, som nu kan forvente en lille hilsen fra deres ISP.

Når du nu tilføjer sådan noget til din IDS burde du også vide at det er
en orm (Code Red), og de maskiner der angriber din maskine sandsynligvis
ikke har været vidende om dette angreb.

--
Andreas Plesner Jacobsen | Sorry never means having your say to love.

Thomas Jespersen (19-07-2001)
Kommentar
Fra : Thomas Jespersen


Dato : 19-07-01 21:49

"Thomas H. Allin" <tha@gfy.ku.dk> writes:

> Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
> fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
> foregår der? Leder nogen efter www-servere med huller i?

Ja IIS:
http://www.eeye.com/html/Research/Advisories/AD20010618.html

Kaj S. Laursen (20-07-2001)
Kommentar
Fra : Kaj S. Laursen


Dato : 20-07-01 07:59


"Thomas Jespersen" <thomas@daimi.au.dk> wrote in message
news:y4nk814zltl.fsf@rogue.daimi.au.dk...
> "Thomas H. Allin" <tha@gfy.ku.dk> writes:
>
> > Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
> > fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
> > foregår der? Leder nogen efter www-servere med huller i?
>
> Ja IIS:
> http://www.eeye.com/html/Research/Advisories/AD20010618.html

Og:

http://www.cert.org/advisories/CA-2001-19.html

Der står bla. at alle komprimiterede systemer, der søger efter
sikkerhedshullet, bruger samme random seed generator - derfor er det de
samme IP-adresser de alle forsøger sig med. Så Thomas H. Allin kan nok
forvente at der kommer mere end de 20

Kaj






Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste