Søg
Avatar billede oersted-pedersen Nybegynder
28. december 2002 - 15:45 Der er 11 kommentarer og
1 løsning

Spørgsmål til min access log

Hvad sker der her.. !?
Normalt står der kun GET i loggen, når folk har besøgt min hjemmeside. Her fremgår POST ? Nogen der kan forklare mig hvad vedkommende laver ?


217.157.182.160 - - [22/Dec/2002:20:53:41 +0100] "GET / HTTP/1.1" 200 807 90 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.157.182.160 - - [22/Dec/2002:20:53:42 +0100] "GET /Top_mainpage.htm HTTP/1.1" 200 995 20 "http://www.michaelp.dk/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.157.182.160 - - [22/Dec/2002:20:53:42 +0100] "GET /Mainframe_mainpage.htm HTTP/1.1" 200 3482 10 "http://www.michaelp.dk/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.157.182.160 - - [22/Dec/2002:20:53:42 +0100] "GET /Menu_mainpage.htm HTTP/1.1" 200 9539 120 "http://www.michaelp.dk/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.157.182.160 - - [22/Dec/2002:20:53:42 +0100] "GET /Top_mainpage.htm?reload HTTP/1.1" 200 995 0 "http://www.michaelp.dk/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.157.182.160 - - [22/Dec/2002:20:53:43 +0100] "GET /Mainframe_mainpage.htm?reload HTTP/1.1" 200 3482 0 "http://www.michaelp.dk/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.157.182.160 - - [22/Dec/2002:20:53:45 +0100] "GET /Menu_mainpage.htm?reload HTTP/1.1" 200 9539 851 "http://www.michaelp.dk/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.157.182.160 - - [22/Dec/2002:20:53:58 +0100] "GET /LC_billeder_mainpage.htm HTTP/1.1" 200 654 50 "http://www.michaelp.dk/Menu_mainpage.htm?reload" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.157.182.160 - - [22/Dec/2002:20:53:58 +0100] "GET /LC_billeder_mainframe.htm HTTP/1.1" 200 1765 21 "http://www.michaelp.dk/LC_billeder_mainpage.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.157.182.160 - - [22/Dec/2002:20:54:03 +0100] "GET /LC_billeder_menu.htm HTTP/1.1" 200 46285 5317 "http://www.michaelp.dk/LC_billeder_mainpage.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.157.182.160 - - [22/Dec/2002:20:54:45 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:54:49 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:20:54:51 +0100] "GET / HTTP/1.1" 200 807 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:54:53 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:54:53 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:20:54:53 +0100] "GET /Top_mainpage.htm HTTP/1.1" 200 995 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:54:53 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:54:54 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:20:54:54 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:54:54 +0100] "GET /Menu_mainpage.htm HTTP/1.1" 200 9539 160 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:54:55 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:20:54:55 +0100] "GET /Mainframe_mainpage.htm HTTP/1.1" 200 3482 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:56:49 +0100] "GET / HTTP/1.1" 200 807 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:56:50 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:56:50 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:20:56:50 +0100] "GET /Top_mainpage.htm HTTP/1.1" 200 995 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:56:50 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:56:51 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:20:56:51 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:56:51 +0100] "GET /Menu_mainpage.htm HTTP/1.1" 200 9539 120 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:56:52 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:20:56:53 +0100] "GET /Mainframe_mainpage.htm HTTP/1.1" 200 3482 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:58:01 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:58:01 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:20:58:02 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:58:02 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:20:58:12 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:58:12 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:20:58:12 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"
217.157.182.160 - - [22/Dec/2002:20:58:12 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"
217.157.182.160 - - [22/Dec/2002:21:05:01 +0100] "GET /Top_mainpage.htm?reload HTTP/1.1" 200 995 0 "http://www.michaelp.dk/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Avatar billede aovergaard Nybegynder
28. december 2002 - 21:48 #1
Gik ind på denne adresse og slog det op: http://www.fr1.cyberabuse.org/whois/?page=whois  og fandt ud af at det var CyberCity, så det er jo nok dig selv.
Avatar billede oersted-pedersen Nybegynder
28. december 2002 - 22:49 #2
Ah hvad !? Jeg er da ikke ved Cybercity, så den holder da ingen steder...
Avatar billede aovergaard Nybegynder
28. december 2002 - 23:26 #3
ja, hvis det ikke er din udbyder, så må du hellere høre dem om hvad det er for noget. Du kan selv gå ind og tjekke på det link som jeg gav dig
Avatar billede kring Nybegynder
29. december 2002 - 00:19 #4
Det ligner at en eller anden prøver at køre et exploit på din server... men det lykkedes ikke... (Så vidt jeg kan se...)
Avatar billede langbein Nybegynder
31. december 2002 - 09:00 #5
Ja da, dette likner vel litt på et "tradisjonelt" hacker angrep, enten automatisert fra en eller annen eventuelt intetanende person eller manuelt styrt fra en person som vet hva han holder på med.

"POST" mon ikke det betyr at den forsøker å plassere filer på din maskin ??

Er stadig vekk utsatt for liknende hacker angrep på min Linux maskin, men den blir angrepet som om den skulle være en Microsoft maskin, så det bekymrer meg ikke så mye. Angrepet mot din maskin ser også ut til å være et Microsoft rettet angrep. Kjører du Linux eller Microsoft ??

Det kan vel ellers være jeg tar feil. Det skulle være interesant med kommentarer fra andre. Vil forsøke å se om jeg finner noen beskrivelser som kan stemme med dataene over.
Avatar billede langbein Nybegynder
31. december 2002 - 09:12 #6
For resten hva er nå exploit, og hva ligger i å "kjøre exploit på din server" ?? Det vet jeg ikke. kring -> ??

Hvordan tolker man dette ?:

217.157.182.160 - - [22/Dec/2002:20:58:12 +0100] "POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1" 404 0 0 "-" "MSFrontPage/5.0"

Det ser da litt halvskummelt ut ?? Ikke ??
Avatar billede langbein Nybegynder
31. december 2002 - 09:22 #7
Og dette da er det et "normalt" oppslag ??:

217.157.182.160 - - [22/Dec/2002:20:58:12 +0100] "GET /_vti_inf.html HTTP/1.1" 404 0 0 "-" "Mozilla/2.0 (compatible; MS FrontPage 5.0)"

Men, men, det betyr ikke i all enkelhet at noen forsøker å logge seg inn ved hjelp av Frontpage eller liknede ??
Avatar billede langbein Nybegynder
31. december 2002 - 09:29 #8
Se ellers under rubrikken "Active system alerts" - Tolkning ??
http://www.sans.org/y2k/061300.htm
Avatar billede kring Nybegynder
31. december 2002 - 09:30 #9
exploit = udnytte. I denne forbindelse er der nogle der prøver at udnytte et sikkerhedshul i webserveren. Hvis serveren ikke har dette sikkerhedshul (fx hvis det er blevet lappet) vil serveren normalt bare svarer med "bad request" (404)... Det er også det der sker her.

Med hensyn til "MSFrontPage/5.0" så betyder det så vidt jeg kan se at nogle prøver at benytte FrontPage Extensions i forbindelse med dette exploit.
Avatar billede langbein Nybegynder
31. december 2002 - 10:28 #10
OK, da forstår jeg, så langt.

"POST /_vti_bin/shtml.exe/_vti_rpc"

Mon det er feil det jeg skrev tidligere at noen forsøker å plassere en fil på server. Det man forsøker på er vel å eksekvere en system program modul shtml.exe eventuelt med parameter _vti_rpc ??

Hva blir eventuelt effekten av dette ? (Hvis det ikke hadde vært misslykket slik som "404" vel viser) ??
Avatar billede kring Nybegynder
31. december 2002 - 10:32 #11
Jeg ved ikke hvad resultatet af dette exploit ville blive... jeg kender ikke dette præcise exploit.

Jeg tror ikke at der er nogle der prøver at placere filer på serveren. De prøver - som du siger - at eksekvere shtml.exe...
Avatar billede oersted-pedersen Nybegynder
19. januar 2003 - 00:51 #12
:(
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:38 Netkort finder 5 forbindelser,bare ikke min, Af valby i Internetforbindelser
I går 12:52 Installation af Outlook Classic Af mort1 i E-mail programmer
I går 12:08 Alt ender i skyen Af mort1 i Windows
I går 11:38 Væk fra Microsoft Launcher på min Android Af mort1 i Apps til Android
I går 09:20 TEMU vil installeres på min Samsung S10 Af mort1 i Apps til Android
White papers
Flere white papers »