Am Mittwoch, 17. April 2002 16:01 schrieb Karsten Schätzer:
Hallo,
wieso steht das in meiner Access.log meines "little-root"-Accounts auf meinem Linuxrechner?
217.34.162.177 - - [17/Apr/2002:01:50:54 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 217.34.162.177 - - [17/Apr/2002:01:50:54 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 217.34.162.177 - - [17/Apr/2002:01:50:54 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340
Müsste es nicht in meiner error.log stehen oder habe ich etwas missverstanden? Ist somit jemand in meine Kiste eingestiegen?
Gruß, Karsten Schätzer
Hallo Karsten Das ist doch auch kein "Fehler", sondern tatsächlich ein Access, also Zugriff, bzw. ein Zugriffs-Versuch. Ein Virus Namens Nimbda, oder ein enger Verwandter desselben, sucht auf Deinem Apache-Server nach der Datei cmd.exe, manchmal auch root.exe, um dieses Auszuführen und damit dann sein Werk zu beginnen. Die Meldung 404 sagt Dir, dass diese Datei nicht gefunden wurde. Schaden kann Dir keiner zugeführt werden, ausser bei Dir wird nach Traffic abgerechnet. Wenn Du einen MS-IIS laufen hättest, dann wären Deine Probleme größer. Also zur Beruhigung: Keine Gefahr, nur ärgerlicher Traffic und große Log-Files CU Thorsten -- Thorsten Körner || thorstenkoerner@123tkshop.org Dannenkoppel 51 || thorstenkoerner@thorsti.org 22391 Hamburg || GNU-GPG Key: 2D2C4868C007C4FA http://www.123tkShop.org || reg. Linux-User:#187283