Avatar billede maskinen2000 Nybegynder
23. juni 2002 - 20:22 Der er 10 kommentarer og
1 løsning

Apache logfil: Hackerangreb???

Er der nogen der kan se hvad dette er for noget der kommer i min linux apache server logfil. Det sker stort set en gang i timen fra forskellig ip numre..

xx.62.171.216 - - [23/Jun/2002:20:08:43 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 304 "-" "-"
xx.62.171.216 - - [23/Jun/2002:20:08:46 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
xx.62.171.216 - - [23/Jun/2002:20:08:48 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312 "-" "-"
xx.62.171.216 - - [23/Jun/2002:20:08:50 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 312 "-" "-"
xx.62.171.216 - - [23/Jun/2002:20:08:52 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
xx.62.171.216 - - [23/Jun/2002:20:08:57 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 343 "-" "-"

Mvh
Maskinen2000
Avatar billede lequet Nybegynder
23. juni 2002 - 20:24 #1
Det er en orm vist nok Nimbda som søger efter upatchede IIS servere, ikke noget at bekymre sig om :)
Avatar billede lequet Nybegynder
23. juni 2002 - 20:29 #2
Helt præcist er det en orm (som sagt mener jeg det er Nimda) som har inficeret en/flere computere) og derfra scanner tilfældige IP adresser for at finde IIS servere, som har et bestemt sikkerhedshul, som ormen kan udnytte. Dette har ingen betydning for Apache
Avatar billede maskinen2000 Nybegynder
23. juni 2002 - 20:34 #3
oki.. jeg er nu heller ikke nervøs, eftersom den bare returnerer 404 hver gang - var bare lidt nysgerrig ;-)
Avatar billede lequet Nybegynder
23. juni 2002 - 20:36 #4
:) Takker for points
Avatar billede bufferzone Praktikant
23. juni 2002 - 20:40 #5
Vær lige opmærksom på at der, netop nu, køre meget om huller i apache og at der i øjeblikket kommer paches til at lappe disse. Hvis du har en apache server kørende, bør du følge lidt med lige i disse dage
Avatar billede lequet Nybegynder
23. juni 2002 - 20:43 #6
Bufferzone > Takker, det er en god ting at vide!
Avatar billede lequet Nybegynder
23. juni 2002 - 20:45 #7
Sørme så, taget fra www.apache.org :

This follow-up to our earlier advisory is to warn of known-exploitable conditions related to this vulnerability on both 64-bit platforms and 32-bit platforms alike. Though we previously reported that 32-bit platforms were not remotely exploitable, it has since been proven by Gobbles that certain conditions allowing exploitation do exist.

Successful exploitation of this vulnerability can lead to the execution of arbitrary code on the server with the permissions of the web server child process. This can facilitate the further exploitation of vulnerabilities unrelated to Apache on the local system, potentially allowing the intruder root access.

Note that early patches for this issue released by ISS and others do not address its full scope.

Due to the existence of exploits circulating in the wild for some platforms, the risk is considered high. The Apache Software Foundation has released versions 1.3.26 and 2.0.39 that address and fix this issue, and all users are urged to upgrade immediately. These versions are available for download; see below.
Avatar billede maskinen2000 Nybegynder
23. juni 2002 - 20:54 #8
Jeg havde godt set det, men som jeg har forstået det er det vel kun Apache på windows der er i probs? Eller er jeg galt på den?
Avatar billede bufferzone Praktikant
23. juni 2002 - 21:46 #9
Avatar billede bufferzone Praktikant
23. juni 2002 - 21:48 #10
Det startede på windowsplatformen men er nu udvidet til andre platforme også. se her http://httpd.apache.org/info/security_bulletin_20020620.txt
Avatar billede a1a1 Novice
24. juni 2002 - 01:53 #11
:)
linux...jesss..;o)

det er "bare" nimda der er på besøg på din, den kan intet gøre hvis du ikke har installeret iis (og er på en windowsmaskine)
(men hvis du har....(og det er en standard install så har du nok også fest..;( ))

:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester