Hallo Liste, in der accesslog vom Indianer steht folgende Zeile: default.ida?XXXXXXXXXXXXXXXXX......XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a Was erreicht man damit ?? Will man den Rechner hacken ?? Gruß Michael -- Phone/Fax +49 7000 MACBYTE (+49 7000-6222983) Home http://www.macbyte-computing.de/ PGP-Key http://www.macbyte-computing.de/shared/mykey.pkr ++ CGI-Hosting ++ Domains ++ Webspace ++ PHP Development ++
Hallo Michael Raab, Am Freitag, 31. August 2001 um 17:41 schriebst Du:
in der accesslog vom Indianer steht folgende Zeile:
default.ida?XXXXXXXXXXXXXXXXX......XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a erst jetzt ? Wo warst Du die letzten 2 Monate ?
Was erreicht man damit ?? Will man den Rechner hacken ?? Ja. will man. Vorausgesetzt Du setzt Microsoft ein und hast keine Patches installiert. Das ist der Code Red Virus bzw. eine Variante.
Für Dich selber besteht _keine_ Gefahr. Mit freundlichen Grüssen Stefan Onken -- The More I See, The More I Know. The More I Know, The Less I Understand
Am Freitag, 31. August 2001 17:41 schrieb Michael Raab:
in der accesslog vom Indianer steht folgende Zeile: default.ida?XXXXXXXXXXXXXXXXX......XXX%u9090%u6858%ucbd3%u7801%u9090% Was erreicht man damit ?? Will man den Rechner hacken ??
Das ist der Code Red. http://www.cert.org/advisories/CA-2001-23.html Und nebenbei, genau das ist der Grund, warum sich diese Dinger so rasend schnell ausbreiten können. Da setzt jemand einen Webserver auf, lässt ihn auf das Netz los und kümmert sich einen Scheiß um Sicherheitsfragen. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
* Michael Raab
default.ida?XXXXXXXXXXXXXXXXX......XXX%u9090%u6858%ucbd3%u7801%u9090% u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u00 03%u8b00%u531b%u53ff%u0078%u0000%u00=a
Siehe Heise Newsticker vom 05.08.2001 (sic!) (Vorsicht, langer URL) http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/ lab-05.08.01-001/default.shtml&words=Code%20Red Klick einfach den Link "Auftauchen eines Code Red II" im Artikel. ;-) Gruss, Andreas -- Es gibt eine Sorte ungemein ueberlegener Menschen, die gern versichern, alles sei relativ. Das ist natuerlich Unsinn, denn wenn _alles_ relativ waere, gaebe es nichts, wozu es relativ sein koennte. [Russell]
habe in etc/proftpd.conf den Eintag: ServerType standalone geändert in: ServerType inetd Die Ftp-Verbindung zu diesem Rechner funktioniert. Nur bekomme ich beim booten folgende Meldung: linux.localhost - Fatal: Socket operation on non-socket linux.localhost - (Running from command line? Use 'ServerType standalone' in config file!) weiß jemand Rat dank im voraus
Am Freitag, 31. August 2001 18.37 schrieb Harald G.:
habe in etc/proftpd.conf den Eintag:
ServerType standalone geändert in: ServerType inetd
Die Ftp-Verbindung zu diesem Rechner funktioniert. Nur bekomme ich beim booten folgende Meldung:
linux.localhost - Fatal: Socket operation on non-socket linux.localhost - (Running from command line? Use 'ServerType standalone' in config file!)
weiß jemand Rat
wahrscheionlich wird beim booten der ftp-daemon gestartet und das geht natürlich nun nicht mehr... (nur noch auf Anfrage über inetd). wenn du die symlinks in /etc(oder sbin)/init.d/rc?.d/???proftpd entfernst, dann sollte es klappen... oder (falls du liber mit Yast arbeitest) stell im yast die Sache mit START_PROFTPD auf no... /Christian
Hallo, Christian Hernmarck wrote:
wenn du die symlinks in /etc(oder sbin)/init.d/rc?.d/???proftpd entfernst, dann sollte es klappen...
IMHO nicht mehr die beste Lösung, da durch das neue Programm insserv, nicht nur Links umgeschrieben werden, sonder auch neu erstellt werden aus dem script in /etc(oder sbin)/init.d/. Die Frage ist nur wenn es automatisch aufgerufen wird und von wem.
oder (falls du liber mit Yast arbeitest) stell im yast die Sache mit START_PROFTPD auf no...
Wenn nicht Yast, geht auch mit $EDITOR. cu Gerald
On 1 Sep 2001, at 10:03, Christian Hernmarck wrote:
Am Samstag, 1. September 2001 02.07 schrieb Gerald Goebel:
oder (falls du liber mit Yast arbeitest) stell im yast die Sache mit START_PROFTPD auf no...
Wenn nicht Yast, geht auch mit $EDITOR.
... und danach ein "SuSEconfig"...!! :-)
Unsinn (sorry). SuSEconfig ist nur dann sinnvoll (und nötig) wenn Du Variablen in /etc/rc.config (und in /etc/rc.config.d/*) änderst, aus denen mittels SuSEconfig wieder Konfigurationsdateien zusammengebastelt werden (z.B. sendmail). Und auch nur dann, wenn Du dieses Verhalten nicht abgestellt hast (was ich persönlich bevorzuge!) Ansonsten wird durch das Ändern der START_xxx Variable im laufenden Betrieb _gar nix_ passieren, denn diese Variablen werden nur von den Skripten in /etc/rc.d ausgewertet und bestimmen dann, ob das jeweilige Startskript weitermacht und den Prozess startet oder ob es abgebrochen wird. Andreas
participants (8)
-
Andreas Kneib
-
Andreas Kyek
-
Christian Hernmarck
-
Gerald Goebel
-
Harald.XXL@t-online.de
-
Martin Borchert
-
Michael Raab
-
Stefan Onken