Hi | ich habe es doch schon mal gesagt: | das ist Code Red, also nix schlimmes :-) http://www.heise.de/newsticker/data/ju-05.08.01-000/ "Ein interessanter Nebenaspekt: Linux-Benutzer kümmern sich darum, die Ausbreitung eines Wurms zu stoppen, der ausschließlich Microsoft-Server befällt." Das find ich lustig. Gruß, Dennis

Am Mon, 06 Aug 2001 schrieben Sie:

Hallo Liste,

seit ein paar Tagen stelle ich so merkwuerdige Eintraege im httpd/access_log fest (siehe Mittschnitt). Kann mir jemand erklaeren was das zu bedeuten hat und wie diese Zeile zu interpretieren ist? Mein Webalizer noergelt bei jedem Eintrag rum und schickt mir ne mail mit dem Inhalt 'Warning: Truncating oversized request field'. Was passiert hier?

christian

--------schnipp----------- host.domain.com - - [06/Aug/2001:07:54:37 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u685 8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801% u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u0 0=a HTTP/1.0" 400 323 --------schnipp-----------

Hmm Willkommen auf der Erde würde ich sagen, machst Du immer Urlaub hinterm Mond? ;) Das ist die Scan-Signatur von Code Red, einem IIS-Wurm, der nun schon seit Wochen durch Presse, Medien und Security-Mailinglisten geistert. Für Linux-Rechner ist die Sache harmlos, betroffen sind nur IIS-Installationen, die noch nicht entsprechend gepatcht wurden. Was Du siehst ist einfach der HTTP-Request, mit dem der Wurm weitere Opfer zur Verbreitung sucht. Ich würde Dir dringend empfehlen, Bugtraq zu lesen, wenn Du einen Server am öffentlichen Netz betreibst bzw. Dich über Systemsicherheit zu informieren, dann bekommst Du nicht nur solche Sachen mit, sondern auch echte Bedrohungen für Dein System. http://www.securityfocus.com sollte weitere Infos haben. -- Erhard Schwenk http://www.fto.de http://www.akkordeonjugend.de

Sorry, ist bei mir zweimal rausgegangen. Danke fuer Eure Hilfe Christian

Andreas Kneib [mailto:aporia@web.de] wrote Monday, August 06, 2001 5:43 PM

* Christian Rogalla [06/08/01 14:46]:

...

--------schnipp----------- host.domain.com - - [06/Aug/2001:07:54:37 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u685 8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801% u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u0 0=a HTTP/1.0" 400 323 --------schnipp-----------

Deja vu?

Ist es das, was Nietzsche mit der Wiederkehr des ewig Gleichen meinte, oder ist nur mein mutt kaputt?

Gruss, Andreas

-- Humor ist, wenn man trotzdem lacht. Kunst ist, wenn man trotzdem _nicht_ lacht. http://www.kolumne.ixy.de http://www.wortwaal.de/kneibskolumne/

-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verf|gbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com