Hallo, folgenden Eintrag habe ich heute durch Zufall mehrmals im HTTPD-ACESS-Log File gefunden 217.6.23.50 - - [05/Sep/2001:23:22:28 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6 858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53f f%u0078%u0000%u00=a HTTP/1.0" 302 291 217.6.23.50 - - [05/Sep/2001:23:22:28 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6 858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53f f%u0078%u0000%u00=a HTTP/1.0" 302 291 "-" "-" Wer kann mir sagen, was für ein Zugriff dieses ist? Ein Versuch den Webserver von außen abzuschießen??? Gruß Thorsten Hantke
Hi Thorsten, Am Mittwoch, 5. September 2001 23:32 schrieb Thorsten Hantke:
folgenden Eintrag habe ich heute durch Zufall mehrmals im HTTPD-ACESS-Log File gefunden
217.6.23.50 - - [05/Sep/2001:23:22:28 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Wer kann mir sagen, was für ein Zugriff dieses ist?
CodeRed geistert immer noch im Netz herum - geht eigentlich nur Win-Kisten mit IIS was an. Und uns nerven die vollen Logfiles. Näheres weiß meine Lieblingsseite für solche Fälle: http://www.tu-berlin.de/www/software/virus/aktuell.shtml Helga
Am 05-Sep-2001 wuchtete Helga Fischer folgendes in die Tasten:
Hi Thorsten,
Am Mittwoch, 5. September 2001 23:32 schrieb Thorsten Hantke:
folgenden Eintrag habe ich heute durch Zufall mehrmals im HTTPD-ACESS-Log File gefunden
217.6.23.50 - - [05/Sep/2001:23:22:28 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Wer kann mir sagen, was f�r ein Zugriff dieses ist?
CodeRed geistert immer noch im Netz herum - geht eigentlich nur Win-Kisten mit IIS was an. Und uns nerven die vollen Logfiles.
Der geistert u. a. deswegen noch im Netz umher, weil es anscheinend immer wieder Leute gibt, die sich einen Dreck um die Sicherheit ihres Hosts scheren. Wenn er sich mal die Muehe gemacht haette, bei google.com nach default.ida zu suchen, dann waere er bis in alle Ewigkeit mit Informationen darueber versorgt worden. Es kann IMHO nicht sein, dasz es noch Leute gibt, die noch immer nichts ueber Code Red gehoert haben... *kopfschuettel* -- 12:14am up 17 days, 13:08, 3 users, load average: 0.33, 0.17, 0.10 Preudhomme's Law of Window Cleaning: It's on the other side.
Hallo Thorsten Hantke, Am Mittwoch, 5. September 2001 um 23:32 schriebst Du:
folgenden Eintrag habe ich heute durch Zufall mehrmals im HTTPD-ACESS-Log File gefunden 217.6.23.50 - - [05/Sep/2001:23:22:28 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
ich hoffe, Dein zweimonatiger Aufenthalt in einem anderen Sternensystem war schön. Code Red. Befällt nur Windows Kisten mit dem IS von Microsoft. Kann Dir egal sein. cu stonki -- The More I See, The More I Know. The More I Know, The Less I Understand
Hi! Der Aufenthalt im anderen Universum war länger als 2 Monate oder? Bei Deiner Leichtfertigkeit mit dem Medium solltest Du den Stecker ziehen !!! Oder wenn schon Services nach aussen offen sind regelmäßig Buqtrag lesen und die Dinge, die dort stehen auch beherzigen. Zusätzlich wären die Securityupdates vom suse FTP auch zu empfehlen. Es ist nur eine Frage der Zeit, wann ähnliches für den Indianer auftaucht. Hajo -- Linux, because: Who needs Gates in a fenceless World ??
participants (5)
-
Hans-Joachim Mueller -
Helga Fischer -
Schneider Christian -
Stefan Onken -
Thorsten Hantke