"Patrick Preuß" <deathdealer@gmx.net> schrieb am 21.10.05 16:17:34:

Hallo einmal Googlen ergab:

In searching the web, I find that this SEEMS to be the FrontPage extension attack from 2-3 years ago. I "got a hold" of a couple of student machines that were the xxx.yyy addresses. So far, BOTH of these machines have AV protection running AND have updated def files. I have run various Spyware scans using all 17,000 of our favorite Spyware tools - nothing has come up (well, gator, but that is kinda expected) that clues me into what is going on.

http://listserv.educause.edu/cgi-bin/wa.exe?A2=ind0503&L=security&T=0&F=&S=&P=2862 hth

kannst du das bitte auch an die liste posten, danke.

Gruss Patrick

...

--- Ursprüngliche Nachricht --- Von: evil-leeroy@web.de An: suse-linux@suse.com Betreff: Apache-Logs Datum: Fri, 21 Oct 2005 14:32:19 +0200

Hallo Leute...

habe heute in meinen Apache Logs folgendes gefunden....

[19/Oct/2005:22:22:33 +0200] "SEARCH

/\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\

...

x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H

...

\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04

...

und so weiter und so fort...

irgendwann switch der Eintrag auf.: \x90\x90\x90\x90 usw...

weiß jemand, was das sein kann? Sieht auf jeden Fall sehr seltsam aus .. Sind das irgendwelche Bytefolgen in Hexadecimal? Was hat es damit auf sich? Muss ich irgendwas in der Apache-conf verändern, damit ich solche Requests nicht mehr zu lasse?

Danke im Voraus

Mfg ______________________________________________________________ Verschicken Sie romantische, coole und witzige Bilder per SMS! Jetzt bei WEB.DE FreeMail: http://f.web.de/?mc=021193

-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com

-- best regards Patrick Marc Preuss ---------------------------------------------------------------------- --

"...a hundred billion castaways looking for a home." - Sting "Message in a Bottle" (1979)

Lust, ein paar Euro nebenbei zu verdienen? Ohne Kosten, ohne Risiko! Satte Provisionen für GMX Partner: http://www.gmx.net/de/go/partner

______________________________________________________________ Verschicken Sie romantische, coole und witzige Bilder per SMS! Jetzt bei WEB.DE FreeMail: http://f.web.de/?mc=021193