Hallo zusammen, ist evtl. ein bissel OT aber ich denke hier ist es ganz gut aufgehoben. In meinen ApacheLogfiles finde ich sehr häufig folgenden Aufruf: 195.243.144.50 - - [07/Aug/2001:20:55:09 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 273 Welche Art von Angriff ist das? Gruss Michael -- http://www.beagle-ronja.de/ http://www.versuchstiere.de/ http://www.laborbeagle.org/ http://www.monett.de/ http://www.elmos-welt.de/ http://www.tierheim-dortmund.de/
Hi, On Tue, 7 Aug 2001, Michael Vogel wrote:
ist evtl. ein bissel OT aber ich denke hier ist es ganz gut aufgehoben.
In meinen ApacheLogfiles finde ich sehr häufig folgenden Aufruf:
195.243.144.50 - - [07/Aug/2001:20:55:09 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 273
Welche Art von Angriff ist das?
Code Red / II http://www.heise.de/newsticker/data/lab-07.08.01-001/ grep default.ida /var/log/httpd/access_log -c 278 Ich leite die auf ne andere seite um mit Redirect /default.ida http://www.microsoft.de in der .htacces Henne -- Hendrik Vogelsang aka Henne mailto: mickey@naturalbornkiller.de /* Am I fucking pedantic or what? */ 2.2.16 /usr/src/linux/drivers/scsi/qlogicpti.h # random sigs made with fortune
Hallo, das heisst also, das die Rechner die auf meinen Server zugreifen sind durch den Wurm Code Red infiziert? Ich war einige Zeit nicht auf der Liste und haben die Diskussionen nicht verfolgen koennen. Gruss Michael Henne Vogelsang wrote:
Hi,
On Tue, 7 Aug 2001, Michael Vogel wrote:
ist evtl. ein bissel OT aber ich denke hier ist es ganz gut aufgehoben.
In meinen ApacheLogfiles finde ich sehr häufig folgenden Aufruf:
195.243.144.50 - - [07/Aug/2001:20:55:09 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 273
Welche Art von Angriff ist das?
Code Red / II
http://www.heise.de/newsticker/data/lab-07.08.01-001/
grep default.ida /var/log/httpd/access_log -c 278
Ich leite die auf ne andere seite um mit
Redirect /default.ida http://www.microsoft.de
in der .htacces
Henne
-- Hendrik Vogelsang aka Henne mailto: mickey@naturalbornkiller.de
/* Am I fucking pedantic or what? */ 2.2.16 /usr/src/linux/drivers/scsi/qlogicpti.h
# random sigs made with fortune
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- http://www.beagle-ronja.de/ http://www.versuchstiere.de/ http://www.laborbeagle.org/ http://www.monett.de/ http://www.elmos-welt.de/ http://www.tierheim-dortmund.de/
On Tue, 7 Aug 2001, Michael Vogel wrote:
Henne Vogelsang wrote:
On Tue, 7 Aug 2001, Michael Vogel wrote:
In meinen ApacheLogfiles finde ich sehr häufig folgenden Aufruf:
195.243.144.50 - - [07/Aug/2001:20:55:09 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 273
Welche Art von Angriff ist das?
Code Red / II
das heisst also, das die Rechner die auf meinen Server zugreifen sind durch den Wurm Code Red infiziert?
Hast Du denn den angegebenen Heise-Artikel ueberhaupt gelesen? Da steht eindeutig drin, dass alle Varianten den IIS von Micro$oft angreifen, die den seit Juni bereitgestellten Abhilfe-Patch nicht installiert haben. Jetzt kannst Du Dir Deine Frage doch wohl beantworten. Im Uebrigen solltest Du als verantwortlicher Administrator von Servern - so Du einer bist - grundsaetzlich Sicherheitsinformationen der o. a. Art verfolgen. Es gibt da mehrere Listen, die Dich gerne beraten, eine ausfuehrliche davon kommt von der Uni Stuttgart. Ich habe leider gerade den Link nicht hier. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Hallo Peter Blancke schrieb:
Es gibt da mehrere Listen, die Dich gerne beraten, eine ausfuehrliche davon kommt von der Uni Stuttgart. Ich habe leider gerade den Link nicht hier.
http://cert.uni-stuttgart.de/ticker/abo.php -- ./no_signature
On Tue, Aug 07, 2001 at 10:06:28PM +0200, Michael Vogel wrote:
Hallo,
das heisst also, das die Rechner die auf meinen Server zugreifen sind durch den Wurm Code Red infiziert?
Ich war einige Zeit nicht auf der Liste und haben die Diskussionen nicht verfolgen koennen. Eigentlich gehoert Dir der Internetzugang entzogen! Ich hoffe mal das Du kein Vollzeitadmin bist sonst wuerde ich dich wenn Du nicht absolut ueberlastet bist wegen grober Pflichtverletzung oder sowas vor die Tuer setzen! Wie waere es mal mit grundlegender Informationsbeschaffung? Wenn schon nicht buqtraq dann vielleicht wenigstens heise.de und ab und an mal ein Blick auf securityfocus.com? Da haettest Du dann auch erfahren das der Code Red Wurm und sein Nachfahre Code Red II (der mit den XX anstatt den NN in den logs) nur IIS Server angreifen.
Details in den News der letzten Tage. Sven -- Sven Hoexter Earth - Germany - Leverkusen -=|=- e-mail: sven@telelev.net http://polarbear.telelev.net/cgi-bin/codered.cgi One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them
At 22:42 07.08.2001 +0200, Sven Hoexter wrote:
Wie waere es mal mit grundlegender Informationsbeschaffung? was interessieren einen linux user fehler in iis ? wenn ich da sehe "vulnerable win*" dann schau ich mir das garnicht weiter an ;)
-- --/-/------ Lukas Beeler ---- lukas.beeler@projectdream.org -----------\-\-- \ \ My HomePage: URL:http://www.projectdream.org / /
* Lukas Beeler
At 22:42 07.08.2001 +0200, Sven Hoexter wrote:
Wie waere es mal mit grundlegender Informationsbeschaffung? was interessieren einen linux user fehler in iis ? wenn ich da sehe "vulnerable win*" dann schau ich mir das garnicht weiter an ;)
Aber dann Fragen stellen, die in den letzten Tagen schon ein paar mal hier aufgetaucht sind... flo -- Ein Blutbad ist ein heiliger Akt, ein Gebet aus Koerperteilen, ein Hochamt der Mordlust und muß besonders sti(h)lvoll ausgeführt werden. [Dieter Bruegmann in dag°]
On Tue, Aug 07, 2001 at 10:58:27PM +0200, Lukas Beeler wrote:
At 22:42 07.08.2001 +0200, Sven Hoexter wrote:
Wie waere es mal mit grundlegender Informationsbeschaffung? was interessieren einen linux user fehler in iis ? wenn ich da sehe "vulnerable win*" dann schau ich mir das garnicht weiter an ;) Solange wie ich dann nicht frage warum der Traffic in meinem Netzsegment so sprunghaft ansteigt oder was das da fuer seltsame Eintraege in meinen logs sind ist das vielleicht noch zu akzeptieren. Ansonsten kann es nie schaden mal ueber den Horizont zu blicken. Ansonsten darfst Du ja dann immer noch drueber lachen und das ist doch auch was Wert. Oder findest Du das nicht komisch wenn sich ein Haufen von Windoskisten mit vorinstallierter Backdoor bei Dir melden? *g*
Apropos backdoor: Hat die mal einer geschaft zu "benutzen"? Ich hab da irgendwie immer nen 404 zurueck bekommen. Sven -- Subject: Re: woody hanging
WRT subject. $ apt-get install viagra ;-) [Karsten M. Self in debian-user]
participants (8)
-
Florian Gross
-
Henne Vogelsang
-
Lukas Beeler
-
Michael Vogel
-
Peter Blancke
-
Sebastian Wolfgarten
-
Sven Hoexter
-
Thomas Schürmann