hallo eigentlich ist meine frage nicht ganz on-topic aber ev. interressierts doch jemanden. folgendes sehe ich im httpd error-log und zwar mehrmals am tag schon seit laengerer zeit mit unterschiedlichen ip adressen. allerdings sehe ich dieselben immer wieder wenn ich ein paar tage zurueckschaue. [Sun Feb 17 16:04:11 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe [Sun Feb 17 16:04:14 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe [Sun Feb 17 16:04:17 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.exe [Sun Feb 17 16:04:19 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.exe [Sun Feb 17 16:04:22 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe [Sun Feb 17 16:04:24 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/_vti_bin/..%5c../..%5c../..%5c../winnt [Sun Feb 17 16:04:26 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/_mem_bin/..%5c../..%5c../..%5c../winnt [Sun Feb 17 16:04:29 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/msadc/..%5c../..%5c../..%5c/..Á.../..Á [Sun Feb 17 16:04:31 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/..Á.../winnt/system32/cmd.exe [Sun Feb 17 16:04:36 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/..À¯../winnt/system32/cmd.exe [Sun Feb 17 16:04:39 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/..Á.../winnt/system32/cmd.exe [Sun Feb 17 16:04:46 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe [Sun Feb 17 16:04:49 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/..%2f../winnt/system32/cmd.exe in zusammenhang mit dem buffer overflow problem des indexierungsdienstes von gewissen windows servern (nimda wurm) komen mir diese zeilen bekannt vor. zum glueck fuehlt sich hier mein indianer nicht angesprochen :-) meine frage nun: ist das ein infiziertes system das sich zu verbreiten versucht oder ein user der lecks sucht mittels scan oder kann man das hier nciht so genau sagen? gruesse marius appenzeller
On Sunday 17 February 2002 21:19, Marius Appenzeller wrote:
hallo eigentlich ist meine frage nicht ganz on-topic aber ev. interressierts doch jemanden. folgendes sehe ich im httpd error-log und zwar mehrmals am tag schon seit laengerer zeit mit unterschiedlichen ip adressen. allerdings sehe ich dieselben immer wieder wenn ich ein paar tage zurueckschaue.
[Sun Feb 17 16:04:11 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe [Sun Feb 17 16:04:14 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe [Sun Feb 17 16:04:17 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.exe [Sun Feb 17 16:04:19 2002] [error] [client 217.162.88.150] File does not
Das ist wohl schlicht und einfach NIMDA in Aktion Thomas
* On Sun, 17 Feb 2002 at 20:19 -0000, Marius Appenzeller wrote:
eigentlich ist meine frage nicht ganz on-topic aber ev. interressierts doch jemanden. folgendes sehe ich im httpd error-log und zwar mehrmals am tag schon seit laengerer zeit mit unterschiedlichen ip adressen. allerdings sehe ich dieselben immer wieder wenn ich ein paar tage zurueckschaue.
[Sun Feb 17 16:04:11 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe [...] in zusammenhang mit dem buffer overflow problem des indexierungsdienstes von gewissen windows servern (nimda wurm) komen mir diese zeilen bekannt vor. zum glueck fuehlt sich hier mein indianer nicht angesprochen :-)
Stimmt, riecht nach Nimda.
meine frage nun: ist das ein infiziertes system das sich zu verbreiten versucht oder ein user der lecks sucht mittels scan oder kann man das hier nciht so genau sagen?
Probier doch einfach so etwas aus: http://217.162.88.150/scripts/..%5c../winnt/system32/cmd.exe?/c Wenn ein Directory-Listung rurückkommt, weisst Du zumindest, daß der andere anfällig dafür ist. Dieser jene, den Du herausgegriffen hast, scheint (lt. nslookup) jemand mit einer dyn. IP zu sein, wahrscheinlich der Grund, warum ich zu dieser IP keine HTTP-Verbindung zusammenkriege. Im allgemeinen, kann man da aber auf den Systemen dieser Burschen recht nett spazierengehen. Wenns dann noch einer mit FAT32 ist, kann man nach Lust und Laune herumlöschen (so Sachen wie kernel32.dll, explorer.exe, usw ...) *eg* -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
* Marius Appenzeller schrieb am 17.02.02 um 21:19 Uhr:
hallo eigentlich ist meine frage nicht ganz on-topic aber ev. interressierts doch jemanden. folgendes sehe ich im httpd error-log und zwar mehrmals am tag schon seit laengerer zeit mit unterschiedlichen ip adressen. allerdings sehe ich dieselben immer wieder wenn ich ein paar tage zurueckschaue.
[Sun Feb 17 16:04:11 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe [Sun Feb 17 16:04:14 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe [Sun Feb 17 16:04:17 2002] [error] [client 217.162.88.150] File does not
Das ist NIMDA... Gruss -Marc -- BUGS My programs never have bugs. They just develop random features. If you discover such a feature and you want it to be removed: please send an email to bug@links2linux.de
Hi,
From the keyboard of Marc,
* Marius Appenzeller schrieb am 17.02.02 um 21:19 Uhr:
hallo eigentlich ist meine frage nicht ganz on-topic aber ev. interressierts doch jemanden. folgendes sehe ich im httpd error-log und zwar mehrmals am tag schon seit laengerer zeit mit unterschiedlichen ip adressen. allerdings sehe ich dieselben immer wieder wenn ich ein paar tage zurueckschaue.
[Sun Feb 17 16:04:11 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe [Sun Feb 17 16:04:14 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe [Sun Feb 17 16:04:17 2002] [error] [client 217.162.88.150] File does not
Das ist NIMDA...
Und als *Gegenmittel* : # Nimbda + Code RED <IfModule mod_alias.c> RedirectMatch (.*)\root.exe$ http://www.microsoft.com RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com </IfModule> ... SetEnvIf Request_URI \cmd.exe|\root.exe|\default.ida worms ... CustomLog /var/log/apache/access.log combined env=!worms gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html If not: perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
participants (5)
-
Adalbert Michelic -
Marc Schiffbauer -
Marius Appenzeller -
Thomas Schubert -
Waldemar Brodkorb