Hallo zusammen, kann mir mal jemand nen tip geben was das hier für ein Dreck ist? 217.208.89.38 - - [02/Oct/2001:15:51:16 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.230.80 - - [02/Oct/2001:15:47:26 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.94.38 - - [02/Oct/2001:15:25:00 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.60.96.66 - - [02/Oct/2001:15:22:44 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.108.216 - - [02/Oct/2001:15:17:22 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.35.156.245 - - [02/Oct/2001:15:01:53 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.183.246 - - [02/Oct/2001:14:49:14 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.94.38 - - [02/Oct/2001:14:45:38 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.146.5.39 - - [02/Oct/2001:14:31:01 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.82.4.135 - - [02/Oct/2001:14:15:40 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.228.171.233 - - [02/Oct/2001:14:15:03 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.59.178.77 - - [08/Oct/2001:09:56:55 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.242.40 - - [08/Oct/2001:09:53:48 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.123.227 - - [08/Oct/2001:09:49:22 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.123.227 - - [08/Oct/2001:09:42:03 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.242.40 - - [08/Oct/2001:09:06:52 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 213.39.69.69 - - [08/Oct/2001:08:07:34 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.73.243 - - [08/Oct/2001:07:58:11 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.86.242 - - [08/Oct/2001:07:34:36 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 meine logfiles sind voll davon.... was kann ich denn dagegen tun? Grüße Stefan
Hi, Am 8 Oct 2001, um 10:36 hat Stefan Goerres geschrieben:
Hallo zusammen,
kann mir mal jemand nen tip geben was das hier für ein Dreck ist?
Nimda !
217.208.89.38 - - [02/Oct/2001:15:51:16 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.230.80 - - [02/Oct/2001:15:47:26 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.94.38 - - [02/Oct/2001:15:25:00 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.60.96.66 - - [02/Oct/2001:15:22:44 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.108.216 - - [02/Oct/2001:15:17:22 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.35.156.245 - - [02/Oct/2001:15:01:53 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.183.246 - - [02/Oct/2001:14:49:14 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.94.38 - - [02/Oct/2001:14:45:38 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.146.5.39 - - [02/Oct/2001:14:31:01 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.82.4.135 - - [02/Oct/2001:14:15:40 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.228.171.233 - - [02/Oct/2001:14:15:03 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.59.178.77 - - [08/Oct/2001:09:56:55 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.242.40 - - [08/Oct/2001:09:53:48 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.123.227 - - [08/Oct/2001:09:49:22 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.123.227 - - [08/Oct/2001:09:42:03 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.242.40 - - [08/Oct/2001:09:06:52 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 213.39.69.69 - - [08/Oct/2001:08:07:34 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.73.243 - - [08/Oct/2001:07:58:11 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.86.242 - - [08/Oct/2001:07:34:36 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
meine logfiles sind voll davon.... was kann ich denn dagegen tun?
Versuch herauszufinden wem die IP-Adresse(n) gehören, und gib denen bscheid das die sich den Virus eingefangen haben. Peter
Am Montag, 8. Oktober 2001 10:36 schrieb Stefan Goerres:
Hallo zusammen,
kann mir mal jemand nen tip geben was das hier für ein Dreck ist?
217.208.89.38 - - [02/Oct/2001:15:51:16 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.230.80 - - [02/Oct/2001:15:47:26 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
217.0.86.242 - - [08/Oct/2001:07:34:36 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
meine logfiles sind voll davon.... was kann ich denn dagegen tun?
Hi Stefan Schön, Du wieder da bist. Wo warst Du die ganzen letzten Wochen. Diese Geschichte ging schon 1001-mal durch die Liste ;-) Das ist ein Gruß von Nimda. Ärgerlich, aber für Nicht-IIC-Nutzer ungefährlich. CU Thorsten -- Always borrow money from a pessimist; he doesn't expect to be paid back.
From: "Thorsten Körner"
Am Montag, 8. Oktober 2001 10:36 schrieb Stefan Goerres:
Hallo zusammen,
kann mir mal jemand nen tip geben was das hier für ein Dreck ist?
217.208.89.38 - - [02/Oct/2001:15:51:16 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268 217.0.230.80 - - [02/Oct/2001:15:47:26 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
217.0.86.242 - - [08/Oct/2001:07:34:36 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
meine logfiles sind voll davon.... was kann ich denn dagegen tun?
Hi Stefan Schön, Du wieder da bist. Wo warst Du die ganzen letzten Wochen. Diese Geschichte ging schon 1001-mal durch die Liste ;-) Das ist ein Gruß von Nimda. Ärgerlich, aber für Nicht-IIC-Nutzer ungefährlich. CU Thorsten
Krass dem ... bin a) blond und b) ist montag c) kann ich mir ja nicht alles merken was ihr so schreibt ;) Cheers Steve
Hallo, at Monday 08.10.2001 (10:36 +0200), Stefan Goerres wrote:
kann mir mal jemand nen tip geben was das hier für ein Dreck ist?
Anfrage auf den Nimda Virus. ;-)
meine logfiles sind voll davon.... was kann ich denn dagegen tun?
Ja, den Server abschalten. Dann wird Dein Logfile auch nicht mehr zugemüllt. ;-))) Gruß Michael -- Phone/Fax +49 7000 MACBYTE (+49 7000-6222983) Registered Linux User #228306 HomePage http://www.macbyte.info/ PGP-Key http://www.macbyte.info/shared/mykey.pkr ++ CGI-Hosting ++ Domains ++ Webspace ++ PHP Development ++
On Mon, 8 Oct 2001, Michael Raab wrote:
Hallo,
at Monday 08.10.2001 (10:36 +0200), Stefan Goerres wrote:
kann mir mal jemand nen tip geben was das hier für ein Dreck ist?
Anfrage auf den Nimda Virus. ;-)
meine logfiles sind voll davon.... was kann ich denn dagegen tun? Trage die folgenden Zeilen in deine httpd.conf ein.
<IfModule mod_alias.c> RedirectMatch (.*)\root.exe$ http://www.microsoft.com RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com </IfModule> SetEnvIf Request_URI \cmd.exe|\root.exe|\default.ida worms Der erste Block leitet alle Anfragen, die in der URI den Text root.exe oder cmd.exe enthalten, auf www.microsoft.com um. Die letzte Anweisung bewirkt, dass diese Anfragen nicht mit protokolliert werden. Gruß Lars
Am Montag, 8. Oktober 2001 21:35 schrieb Lars Mucha:
On Mon, 8 Oct 2001, Michael Raab wrote:
Hallo,
at Monday 08.10.2001 (10:36 +0200), Stefan Goerres wrote:
kann mir mal jemand nen tip geben was das hier für ein Dreck ist?
Anfrage auf den Nimda Virus. ;-)
meine logfiles sind voll davon.... was kann ich denn dagegen tun?
Trage die folgenden Zeilen in deine httpd.conf ein.
<IfModule mod_alias.c> RedirectMatch (.*)\root.exe$ http://www.microsoft.com RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com </IfModule>
SetEnvIf Request_URI \cmd.exe|\root.exe|\default.ida worms
Der erste Block leitet alle Anfragen, die in der URI den Text root.exe oder cmd.exe enthalten, auf www.microsoft.com um.
Die letzte Anweisung bewirkt, dass diese Anfragen nicht mit protokolliert werden.
Hallo Lars Was soll das denn bringen. Das riecht doch nur nach Ärger, oder nicht? Wenn diese Requests nicht mitgelogt werden, dann reicht das doch völlig aus. CU Thorsten -- No animal should ever jump on the dining room furniture unless absolutely certain he can hold his own in conversation. -- Fran Lebowitz
hallo leute ich habe leider das selbe problem mit den logs und habe deswegen die "setenvif" eingebaut. leider sind immer noch alle
versuche auf diese dateien zuzugreifen im log. was hab ich falsch gemacht?
thx
daniel
----- Original Message -----
From: Thorsten Körner
Am Montag, 8. Oktober 2001 21:35 schrieb Lars Mucha:
On Mon, 8 Oct 2001, Michael Raab wrote:
Hallo,
at Monday 08.10.2001 (10:36 +0200), Stefan Goerres wrote:
kann mir mal jemand nen tip geben was das hier für ein Dreck ist?
Anfrage auf den Nimda Virus. ;-)
meine logfiles sind voll davon.... was kann ich denn dagegen tun?
Trage die folgenden Zeilen in deine httpd.conf ein.
<IfModule mod_alias.c> RedirectMatch (.*)\root.exe$ http://www.microsoft.com RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com </IfModule>
SetEnvIf Request_URI \cmd.exe|\root.exe|\default.ida worms
Der erste Block leitet alle Anfragen, die in der URI den Text root.exe oder cmd.exe enthalten, auf www.microsoft.com um.
Die letzte Anweisung bewirkt, dass diese Anfragen nicht mit protokolliert werden.
Hallo Lars Was soll das denn bringen. Das riecht doch nur nach Ärger, oder nicht? Wenn diese Requests nicht mitgelogt werden, dann reicht das doch völlig aus. CU Thorsten -- No animal should ever jump on the dining room furniture unless absolutely certain he can hold his own in conversation. -- Fran Lebowitz
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
On Tue, 9 Oct 2001, Daniel Bauer wrote:
hallo leute ich habe leider das selbe problem mit den logs und habe deswegen die "setenvif" eingebaut. leider sind immer noch alle versuche auf diese dateien zuzugreifen im log. was hab ich falsch gemacht? Ups, habe die Zeile
Customlog /var/log/httpd/access_log common env=!worms vergessen, die natürlich alle Zugriffe mitprotokolliert, außer halt die Würmer. Gruß Lars
hallo lars,
vielen dank! klappt wunderbar! mit dem redirect zu winzigweich? naja verdient hätten sie's. was schreiben die auch solche programme
wenn sie keine ahnung davon haben ;)
daniel
----- Original Message -----
From: Lars Mucha
On Tue, 9 Oct 2001, Daniel Bauer wrote:
hallo leute ich habe leider das selbe problem mit den logs und habe deswegen die "setenvif" eingebaut. leider sind immer noch alle versuche auf diese dateien zuzugreifen im log. was hab ich falsch gemacht? Ups, habe die Zeile
Customlog /var/log/httpd/access_log common env=!worms
vergessen, die natürlich alle Zugriffe mitprotokolliert, außer halt die Würmer.
Gruß Lars
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
From: "Lars Mucha"
On Mon, 8 Oct 2001, Michael Raab wrote:
Hallo,
at Monday 08.10.2001 (10:36 +0200), Stefan Goerres wrote:
kann mir mal jemand nen tip geben was das hier für ein Dreck ist?
Anfrage auf den Nimda Virus. ;-)
meine logfiles sind voll davon.... was kann ich denn dagegen tun? Trage die folgenden Zeilen in deine httpd.conf ein.
<IfModule mod_alias.c> RedirectMatch (.*)\root.exe$ http://www.microsoft.com RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com </IfModule>
SetEnvIf Request_URI \cmd.exe|\root.exe|\default.ida worms
Der erste Block leitet alle Anfragen, die in der URI den Text root.exe oder cmd.exe enthalten, auf www.microsoft.com um.
Die letzte Anweisung bewirkt, dass diese Anfragen nicht mit protokolliert werden.
Moin Laas... kann ich das wohl auch so machen das der sich direkt zu sich selbst zurückumleitet? Grüße Stefan
participants (7)
-
Daniel Bauer -
Lars Mucha -
Michael Raab -
Peter Nacken -
Peter Wiersig -
Stefan Goerres -
Thorsten Körner