frage zur ACCESS.LOG unter Linux...
Hallo, wieso steht das in meiner Access.log meines "little-root"-Accounts auf meinem Linuxrechner? 217.34.162.177 - - [17/Apr/2002:01:50:54 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 217.34.162.177 - - [17/Apr/2002:01:50:54 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 217.34.162.177 - - [17/Apr/2002:01:50:54 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 Müsste es nicht in meiner error.log stehen oder habe ich etwas missverstanden? Ist somit jemand in meine Kiste eingestiegen? Gruß, Karsten Schätzer
Hallo, at Wed, 17 Apr 2002 16:01:12 +0200 Karsten Schätzer wrote:
Ist somit jemand in meine Kiste eingestiegen?
Beachte laufenden Thread "Apache error.log (Einbruchsversuche ?)" Gruß Michael -- Homepage http://macbyte.info/ | Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE | http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B | ICQ #151172379 +Webdesign #Don't send HTML coded Mails# PHP Development+
Am Mittwoch, 17. April 2002 16:01 schrieb Karsten Schätzer:
Hallo,
wieso steht das in meiner Access.log meines "little-root"-Accounts auf meinem Linuxrechner?
217.34.162.177 - - [17/Apr/2002:01:50:54 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 217.34.162.177 - - [17/Apr/2002:01:50:54 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 217.34.162.177 - - [17/Apr/2002:01:50:54 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340
Müsste es nicht in meiner error.log stehen oder habe ich etwas missverstanden? Ist somit jemand in meine Kiste eingestiegen?
Gruß, Karsten Schätzer
Hallo Karsten Das ist doch auch kein "Fehler", sondern tatsächlich ein Access, also Zugriff, bzw. ein Zugriffs-Versuch. Ein Virus Namens Nimbda, oder ein enger Verwandter desselben, sucht auf Deinem Apache-Server nach der Datei cmd.exe, manchmal auch root.exe, um dieses Auszuführen und damit dann sein Werk zu beginnen. Die Meldung 404 sagt Dir, dass diese Datei nicht gefunden wurde. Schaden kann Dir keiner zugeführt werden, ausser bei Dir wird nach Traffic abgerechnet. Wenn Du einen MS-IIS laufen hättest, dann wären Deine Probleme größer. Also zur Beruhigung: Keine Gefahr, nur ärgerlicher Traffic und große Log-Files CU Thorsten -- Thorsten Körner || thorstenkoerner@123tkshop.org Dannenkoppel 51 || thorstenkoerner@thorsti.org 22391 Hamburg || GNU-GPG Key: 2D2C4868C007C4FA http://www.123tkShop.org || reg. Linux-User:#187283
Hallo, * On Wed, Apr 17, 2002 at 05:01 PM (+0200), Thorsten Körner wrote:
Schaden kann Dir keiner zugeführt werden, ausser bei Dir wird nach Traffic abgerechnet. Wenn Du einen MS-IIS laufen hättest, dann wären Deine Probleme größer. Also zur Beruhigung: Keine Gefahr, nur ärgerlicher Traffic und große Log-Files
ACK! Dennoch sollte man IMHO solche Dinge zum Anlass nehmen, auch als Administrator eines Apache-Webservers (oder eines anderen Server- Dienstes - auch im Unix-Umfeld) darauf zu achten, dass in Sachen Sicherheitsupdates das eigene System auf dem laufenden ist. Sicher haben es Würmer wie Nimda auf IIS mit seinen vielen "Features" besonders leicht. Aber es wird nur eine Frage der Zeit sein, bis ein ich so stark verbreitender Wurm z.B. veraltete (und bekannte Sicher- heitslücken besitzende) Versionen von Server-Diensten im Unix-Bereich befällt. D.h. auch wenn, wie Du schriebst, abgesehen von Traffic und Logfile- menge, ein solcher Nimda-Angriffsversuch einem Apache-Web-Server nichts anhaben kann, sollte man das als Anlass nehmen, das eigene System zu checken und ggf. upzudaten (ich meine hier keine Updates auf Versionen mit neuen Features, sondern das Updaten im Falle von bekannt gewordenen Sicherheitsproblemen). Sich jetzt erst über Nimda-Attacken in den Logfiles zu wundern, kommt IMHO irgendwie ein wenig spät... Kann aber auch gut sein, dass wieder 'ne neue Variante im Umlauf ist, die für diese Meldungen sorgt. Gruß, Steffen
participants (4)
-
Karsten Schätzer -
Michael Raab -
Steffen Moser -
Thorsten Körner