Hi, wie kann ich die nervenden Meldungen in der Access und Error Log beim Apache von CodeRed und Co ausschalten ? Ohne normale Access Meldungen auszuschalten ? Dat nervt: --- 217.227.229.129 - - [04/Jun/2002:20:33:31 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 217.227.229.129 - - [04/Jun/2002:20:33:32 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 217.227.229.129 - - [04/Jun/2002:20:33:33 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.227.229.129 - - [04/Jun/2002:20:33:35 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.227.229.129 - - [04/Jun/2002:20:33:36 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 217.227.229.129 - - [04/Jun/2002:20:33:38 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 217.227.229.129 - - [04/Jun/2002:20:33:40 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 217.227.229.129 - - [04/Jun/2002:20:33:42 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 336 217.227.229.129 - - [04/Jun/2002:20:33:42 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 --- Ciao Tobias
Hi, wie kann ich die nervenden Meldungen in der Access und Error Log beim Apache von CodeRed und Co ausschalten ? Ohne normale Access Meldungen auszuschalten ?
Dat nervt: --- 217.227.229.129 - - [04/Jun/2002:20:33:31 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 217.227.229.129 - - [04/Jun/2002:20:33:32 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 217.227.229.129 - - [04/Jun/2002:20:33:33 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.227.229.129 - - [04/Jun/2002:20:33:35 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.227.229.129 - - [04/Jun/2002:20:33:36 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 217.227.229.129 - - [04/Jun/2002:20:33:38 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 217.227.229.129 - - [04/Jun/2002:20:33:40 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 217.227.229.129 - - [04/Jun/2002:20:33:42 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c. ./winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 336 217.227.229.129 - - [04/Jun/2002:20:33:42 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302
Das scheint mir aber eher eine DoS-Attacke zu sein, die auf einen Bug im MS-IIS abzielt. Unter Linux kannst es vernachlässigen. Wenn es zu sehr stört, blockiere die entsprechende IP/(IP-Block) in der Firewall. Gruß, Peter
On Wed, Jun 05, 2002 at 03:03:13 +0200, Peter Stoehr wrote:
wie kann ich die nervenden Meldungen in der Access und Error Log beim Apache von CodeRed und Co ausschalten ? Ohne normale Access Meldungen auszuschalten ?
Dat nervt: --- 217.227.229.129 - - [04/Jun/2002:20:33:31 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 [...]
Unter Linux kannst es vernachlässigen.
Ja, aber es nervt ihn.
Wenn es zu sehr stört, blockiere die entsprechende IP/(IP-Block) in der Firewall.
Nein, das ist unsinnig. Die IP gehoert zu einem T-Online-Einwahlpunkt und wird dynamisch zugewiesen. Der kommt doch naechstens unter einer anderen IP wieder. Was stoert, dass es mitgeloggt wird? Per Cron werden die anwachsenden Dateien eh komprimiert und wer die Files auswertet, arbeitet mit dem Befehl "grep" und dort dem Parameter "-v". Schon stoert es nicht mehr. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
On Wed, 2002-06-05 at 03:03, Peter Stoehr wrote:
Hi, wie kann ich die nervenden Meldungen in der Access und Error Log beim Apache von CodeRed und Co ausschalten ? Ohne normale Access Meldungen auszuschalten ?
[...]
Das scheint mir aber eher eine DoS-Attacke zu sein, die auf einen Bug im MS-IIS abzielt. Unter Linux kannst es vernachlässigen. Wenn es zu sehr stört, blockiere die entsprechende IP/(IP-Block) in der Firewall.
Das ist schon Freund Nimda & CO, IP blocken kannste vergessen, funktioniert vielleicht wenn du 5 _statische_ Adressen hast, aber viele nimda&co's kommen von Flatrates die alle 24std. die IP wechseln. VIEL Spass beim IP blocken. :-) Wuerde mich aber auch interessieren, bei uns haben wir hier um die 50 Eintraege am Tag, das ist echt nervig. Kann man die Apache-Log's vor dem schreiben durch einen Filter jagen? Im moment schaue ich mir die Dateien immer gefiltert an: grep -v exe /var/log/httpd/error_log > less -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
Hi, wie kann ich die nervenden Meldungen in der Access und Error Log beim Apache von CodeRed und Co ausschalten ? Ohne normale Access Meldungen auszuschalten ?
[...]
Das scheint mir aber eher eine DoS-Attacke zu sein, die auf einen Bug im MS-IIS abzielt. Unter Linux kannst es vernachlässigen. Wenn es zu sehr stört, blockiere die entsprechende IP/(IP-Block) in der Firewall.
Das ist schon Freund Nimda & CO, IP blocken kannste vergessen, funktioniert vielleicht wenn du 5 _statische_ Adressen hast, aber viele nimda&co's kommen von Flatrates die alle 24std. die IP wechseln. VIEL Spass beim IP blocken. :-)
Du kannst ja dann auch die gesamte IP-Range sperren, trifft zwar auch Unschuldige, aber dann hast Deine Ruhe. Auf einem meiner Server war auch mal ein Kunde der Telekom Austria am werk, der wirklich behaarlich tag und nach den Server mit ungültigen Anfragen (wie z.B. die angesprochenen) bombariert hat. Ein kurzes Mail mit den Logfiles an _abuse_ und schon kam die Rückantwort, das der jeweilige Kunde vorerst gesperrt worden ist :-)
Wuerde mich aber auch interessieren, bei uns haben wir hier um die 50 Eintraege am Tag, das ist echt nervig. Kann man die Apache-Log's vor dem schreiben durch einen Filter jagen?
Ich verwende den Webalizer, und dem sind die besagten Logeinträge ziemlich Schnuppe :)
Im moment schaue ich mir die Dateien immer gefiltert an:
grep -v exe /var/log/httpd/error_log > less
-- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Mittwoch, 5. Juni 2002 03:03 schrieb Peter Stoehr:
Hi, wie kann ich die nervenden Meldungen in der Access und Error Log beim Apache von CodeRed und Co ausschalten ? Ohne normale Access Meldungen auszuschalten ?
Dat nervt: --- 217.227.229.129 - - [04/Jun/2002:20:33:31 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 217.227.229.129 - - [04/Jun/2002:20:33:32 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 217.227.229.129 - - [04/Jun/2002:20:33:33 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.227.229.129 - - [04/Jun/2002:20:33:35 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.227.229.129 - - [04/Jun/2002:20:33:36 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 217.227.229.129 - - [04/Jun/2002:20:33:38 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 217.227.229.129 - - [04/Jun/2002:20:33:40 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 217.227.229.129 - - [04/Jun/2002:20:33:42 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c.
./winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 336 217.227.229.129 - - [04/Jun/2002:20:33:42 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302
Das scheint mir aber eher eine DoS-Attacke zu sein, die auf einen Bug im MS-IIS abzielt. Unter Linux kannst es vernachlässigen. Wenn es zu sehr stört, blockiere die entsprechende IP/(IP-Block) in der Firewall.
Hallo, ich habe das problem auch. Kommt 10 mal am Tag, immer von einer anderen IP. Mache ich ein Whois sagt die Kiste mir, es sei eine Telekom IP. Soll ich da mal eine Mail zur Technik senden???? Gruß Stefan
Stefan Eggert <stefan.linux@gmx.de> schrieb:
ich habe das problem auch. Kommt 10 mal am Tag, immer von einer anderen IP. Mache ich ein Whois sagt die Kiste mir, es sei eine Telekom IP. Soll ich da mal eine Mail zur Technik senden????
Guter Gedanke, aber bringt nichts. Die IPs gehören zwar der Telekom, aber die IPs werden von Kunden der Telekom genutzt. Und ich würde mit grosser Sicherheit behaupten, dass dies einfache Dial-Up Verbindungen sind. Die Telekom wird sich nicht die Arbeit machen, und aus den IPs + Zeitpunkt rauszusuchen, welcher Kunde dies ist um diesen zu informieren. Daher kannst Du Dir diese Mühe auch erspararen. Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Am Mittwoch, 5. Juni 2002 09:10 schrieb Stefan Eggert:
Am Mittwoch, 5. Juni 2002 03:03 schrieb Peter Stoehr:
Hi, wie kann ich die nervenden Meldungen in der Access und Error Log beim Apache von CodeRed und Co ausschalten ? Ohne normale Access Meldungen auszuschalten ?
Dat nervt: --- 217.227.229.129 - - [04/Jun/2002:20:33:31 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 217.227.229.129 - - [04/Jun/2002:20:33:32 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 217.227.229.129 - - [04/Jun/2002:20:33:33 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.227.229.129 - - [04/Jun/2002:20:33:35 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.227.229.129 - - [04/Jun/2002:20:33:36 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 217.227.229.129 - - [04/Jun/2002:20:33:38 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.ex e?/c+dir HTTP/1.0" 404 320 217.227.229.129 - - [04/Jun/2002:20:33:40 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.ex e?/c+dir HTTP/1.0" 404 320 217.227.229.129 - - [04/Jun/2002:20:33:42 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c 1%1c.
./winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 336 217.227.229.129 - - [04/Jun/2002:20:33:42 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302
Das scheint mir aber eher eine DoS-Attacke zu sein, die auf einen Bug im MS-IIS abzielt. Unter Linux kannst es vernachlässigen. Wenn es zu sehr stört, blockiere die entsprechende IP/(IP-Block) in der Firewall.
Hallo,
ich habe das problem auch. Kommt 10 mal am Tag, immer von einer anderen IP. Mache ich ein Whois sagt die Kiste mir, es sei eine Telekom IP. Soll ich da mal eine Mail zur Technik senden????
Habe ich schon mehrmals gemacht, reagieren auch sofort und schreiben einem nette Emails. Inhalt: "ist ein Kunde von T-online, wir haben es dorthin weitergeleitet." Und das wars dann. Keine weitere Reaktion mehr, weder von der Telekom noch von t-online. cu Thomas -- www.thofi-lich.de
Am Mittwoch, 5. Juni 2002 09:10 schrieb Stefan Eggert:
Am Mittwoch, 5. Juni 2002 03:03 schrieb Peter Stoehr:
Hi, wie kann ich die nervenden Meldungen in der Access und Error Log beim Apache von CodeRed und Co ausschalten ? Ohne normale Access Meldungen auszuschalten ?
Dat nervt: --- 217.227.229.129 - - [04/Jun/2002:20:33:31 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 217.227.229.129 - - [04/Jun/2002:20:33:32 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 217.227.229.129 - - [04/Jun/2002:20:33:33 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.227.229.129 - - [04/Jun/2002:20:33:35 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 289 217.227.229.129 - - [04/Jun/2002:20:33:36 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303 217.227.229.129 - - [04/Jun/2002:20:33:38 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 217.227.229.129 - - [04/Jun/2002:20:33:40 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 320 217.227.229.129 - - [04/Jun/2002:20:33:42 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c.
./winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 336 217.227.229.129 - - [04/Jun/2002:20:33:42 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302
Das scheint mir aber eher eine DoS-Attacke zu sein, die auf einen Bug im MS-IIS abzielt. Unter Linux kannst es vernachlässigen. Wenn es zu sehr stört, blockiere die entsprechende IP/(IP-Block) in der Firewall.
Hallo,
ich habe das problem auch. Kommt 10 mal am Tag, immer von einer anderen IP. Mache ich ein Whois sagt die Kiste mir, es sei eine Telekom IP. Soll ich da mal eine Mail zur Technik senden????
Gruß Stefan
Es kann aber nicht angehen, das ich von morgens um 8 bis nächsten morgen um 4 damit genervt werde. Bei mir ist es im 5 Minuten takt.
Hallo, at Wed, 05 Jun 2002 00:50:07 +0200 Tobias Geis wrote:
wie kann ich die nervenden Meldungen in der Access und Error Log beim Apache von CodeRed und Co ausschalten ?
Es ist vor Monaten schon mal durch diese Liste gelaufen. Ich habe folgendes in meiner httpd.conf Um die Leutz eventuell ärgern zu wollen, habe ich folgendes eingetragen: <IfModule mod_alias.c> RedirectMatch (.*)\root.exe$ http://domaindeinerwahl.net RedirectMatch (.*)\cmd.exe$ http://domaindeinerwahl.net </IfModule> Fürs nicht loggen: SetEnvIf Request_URI \cmd.exe|\root.exe|\default.ida|(.*)\dummies$ worms .... CustomLog /var/log/httpd/access_log combined env=!worms Das funktioniert wunderprächtig und mein Logfile bleibt leserlich. ;)) Gruß Michael -- Homepage http://macbyte.info/ | Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE | http://counter.li.org GNU GPG-Key ID 0140F88B | ICQ #151172379 +Webdesign #Don't send HTML coded Mails# PHP Development+
Michael Raab wrote:
<IfModule mod_alias.c> RedirectMatch (.*)\root.exe$ http://domaindeinerwahl.net RedirectMatch (.*)\cmd.exe$ http://domaindeinerwahl.net </IfModule>
Und? Wertet der Wurm die Redirects deines Webservers aus? Ich denke mal das er das ignoriert. Peter
Hi,
From: Peter Wiersig [mailto:wiersig-ml@dns.glamus.de]
Michael Raab wrote:
<IfModule mod_alias.c> RedirectMatch (.*)\root.exe$ http://domaindeinerwahl.net RedirectMatch (.*)\cmd.exe$ http://domaindeinerwahl.net </IfModule>
Und? Wertet der Wurm die Redirects deines Webservers aus? Ich denke mal das er das ignoriert.
Denke ich auch. Ungeachtet dessen steht bei mir seit heute morgen RedirectMatch (.*)\root.exe$ http://www.microsoft.com RedirectMatch (.*)\cmd.exe$ http://www.t-online.de in der config *und* ich fühl mich wohl dabei *g*. Nachdem Nim'das' hier bei uns im Durchschnitt alle 45 sec von verschiedenen IP's aufschlägt, wird sich Micro$oft und Trottel-Online über die Besucherzahl auch freuen :))) Mal schauen, vielleicht argumentieren die Jungs von Trottel-Online bei der nächsten Aktionärsversammlung damit, das sie wahnsinnig viele Hits auf ihrer Seite haben und man daher diese doch Kostenpflichtig machen müsse *fbg* Gruss Ralf
participants (10)
-
Konrad Neitzel -
Marcel Schmedes -
Michael Raab -
Peter Blancke -
Peter Stoehr -
Peter Wiersig -
Ralf Kayser -
Stefan Eggert -
Thomas Fick -
Tobias Geis