Kandu.dk - Suspekt www request


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Suspekt www request
Fra : Thomas H. Allin

Dato : 19-07-01 21:29

Kent Friis (19-07-2001)

Kommentar
Fra : Kent Friis

Dato : 19-07-01 21:41

Den Thu, 19 Jul 2001 22:28:58 +0200 skrev Thomas H. Allin:
>Dav,
>
>har på min private apache 1.3.20 www-server haft følgende request
>
>"GET
>/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3
>%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
>HTTP/1.0"
>
>gentaget ca. 20 gange fra kl. 19 til 22, alle gange fra forskellige
>IP-adresser. I min errorlog står der for hvert af disse besøg
>
>"Client sent malformed Host header"
>
>Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
>fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
>foregår der? Leder nogen efter www-servere med huller i?

IIS...

Mvh
Kent
--
F0 0F C7 C8 - Intel Pentium bug

Kenneth Plettner (19-07-2001)

Kommentar
Fra : Kenneth Plettner

Dato : 19-07-01 21:44

Hej Thomas.

Ja, det er et forsøg på at kompromitere en IIS server - jeg har samme entry
i mine intrusion detection systemer - Er det ikke utroligt at hackere er så
amatøragtige at de ikke finder ud af, hvilken webserver der kører i
baggrunden før de skyder løs !? - Endvidere har jeg identificeret en del af
amatørene, som nu kan forvente en lille hilsen fra deres ISP.

Kenneth Plettner
technical architect - MCSE

"Thomas H. Allin" <tha@gfy.ku.dk> wrote in message
news:Pine.LNX.4.33.0107192210250.18300-100000@gaia.gfy.ku.dk...
> Dav,
>
> har på min private apache 1.3.20 www-server haft følgende request
>
> "GET
>
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3
>
%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00
c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
> HTTP/1.0"
>
> gentaget ca. 20 gange fra kl. 19 til 22, alle gange fra forskellige
> IP-adresser. I min errorlog står der for hvert af disse besøg
>
> "Client sent malformed Host header"
>
> Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
> fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
> foregår der? Leder nogen efter www-servere med huller i?
>
> Thomas
>

Andreas Plesner Jaco~ (19-07-2001)

Kommentar
Fra : Andreas Plesner Jaco~

Dato : 19-07-01 21:49

In article <9j7gr9$1lh7$1@news.cybercity.dk>, Kenneth Plettner wrote:
>
> Ja, det er et forsøg på at kompromitere en IIS server - jeg har samme entry
> i mine intrusion detection systemer - Er det ikke utroligt at hackere er så
> amatøragtige at de ikke finder ud af, hvilken webserver der kører i
> baggrunden før de skyder løs !? - Endvidere har jeg identificeret en del af
> amatørene, som nu kan forvente en lille hilsen fra deres ISP.

Når du nu tilføjer sådan noget til din IDS burde du også vide at det er
en orm (Code Red), og de maskiner der angriber din maskine sandsynligvis
ikke har været vidende om dette angreb.

--
Andreas Plesner Jacobsen | Sorry never means having your say to love.

Thomas Jespersen (19-07-2001)

Kommentar
Fra : Thomas Jespersen

Dato : 19-07-01 21:49

"Thomas H. Allin" <tha@gfy.ku.dk> writes:

> Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
> fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
> foregår der? Leder nogen efter www-servere med huller i?

Ja IIS:
http://www.eeye.com/html/Research/Advisories/AD20010618.html

Kaj S. Laursen (20-07-2001)

Kommentar
Fra : Kaj S. Laursen

Dato : 20-07-01 07:59

"Thomas Jespersen" <thomas@daimi.au.dk> wrote in message
news:y4nk814zltl.fsf@rogue.daimi.au.dk...
> "Thomas H. Allin" <tha@gfy.ku.dk> writes:
>
> > Jeg antager, at min maskine ikke er kompromiteret, siden jeg hverken har
> > fundet noget i syslog'en eller oplevet andre ubehageligheder. Men hvad
> > foregår der? Leder nogen efter www-servere med huller i?
>
> Ja IIS:
> http://www.eeye.com/html/Research/Advisories/AD20010618.html

Og:

http://www.cert.org/advisories/CA-2001-19.html

Der står bla. at alle komprimiterede systemer, der søger efter
sikkerhedshullet, bruger samme random seed generator - derfor er det de
samme IP-adresser de alle forsøger sig med. Så Thomas H. Allin kan nok
forvente at der kommer mere end de 20 Glad

Kaj

Søg

Reklame

Statistik

Spørgsmål :	177559
Tips :	31968
Nyheder :	719565
Indlæg :	6408930
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste