Am Mon, 06 Aug 2001 schrieben Sie:
Hallo Liste,
seit ein paar Tagen stelle ich so merkwuerdige Eintraege im httpd/access_log fest (siehe Mittschnitt). Kann mir jemand erklaeren was das zu bedeuten hat und wie diese Zeile zu interpretieren ist? Mein Webalizer noergelt bei jedem Eintrag rum und schickt mir ne mail mit dem Inhalt 'Warning: Truncating oversized request field'. Was passiert hier?
christian
--------schnipp----------- host.domain.com - - [06/Aug/2001:07:54:37 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u685 8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801% u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u0 0=a HTTP/1.0" 400 323 --------schnipp-----------
Hmm Willkommen auf der Erde würde ich sagen, machst Du immer Urlaub hinterm Mond? ;) Das ist die Scan-Signatur von Code Red, einem IIS-Wurm, der nun schon seit Wochen durch Presse, Medien und Security-Mailinglisten geistert. Für Linux-Rechner ist die Sache harmlos, betroffen sind nur IIS-Installationen, die noch nicht entsprechend gepatcht wurden. Was Du siehst ist einfach der HTTP-Request, mit dem der Wurm weitere Opfer zur Verbreitung sucht. Ich würde Dir dringend empfehlen, Bugtraq zu lesen, wenn Du einen Server am öffentlichen Netz betreibst bzw. Dich über Systemsicherheit zu informieren, dann bekommst Du nicht nur solche Sachen mit, sondern auch echte Bedrohungen für Dein System. http://www.securityfocus.com sollte weitere Infos haben. -- Erhard Schwenk http://www.fto.de http://www.akkordeonjugend.de