* On Sun, 17 Feb 2002 at 20:19 -0000, Marius Appenzeller wrote:
eigentlich ist meine frage nicht ganz on-topic aber ev. interressierts doch jemanden. folgendes sehe ich im httpd error-log und zwar mehrmals am tag schon seit laengerer zeit mit unterschiedlichen ip adressen. allerdings sehe ich dieselben immer wieder wenn ich ein paar tage zurueckschaue.
[Sun Feb 17 16:04:11 2002] [error] [client 217.162.88.150] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe [...] in zusammenhang mit dem buffer overflow problem des indexierungsdienstes von gewissen windows servern (nimda wurm) komen mir diese zeilen bekannt vor. zum glueck fuehlt sich hier mein indianer nicht angesprochen :-)
Stimmt, riecht nach Nimda.
meine frage nun: ist das ein infiziertes system das sich zu verbreiten versucht oder ein user der lecks sucht mittels scan oder kann man das hier nciht so genau sagen?
Probier doch einfach so etwas aus: http://217.162.88.150/scripts/..%5c../winnt/system32/cmd.exe?/c Wenn ein Directory-Listung rurückkommt, weisst Du zumindest, daß der andere anfällig dafür ist. Dieser jene, den Du herausgegriffen hast, scheint (lt. nslookup) jemand mit einer dyn. IP zu sein, wahrscheinlich der Grund, warum ich zu dieser IP keine HTTP-Verbindung zusammenkriege. Im allgemeinen, kann man da aber auf den Systemen dieser Burschen recht nett spazierengehen. Wenns dann noch einer mit FAT32 ist, kann man nach Lust und Laune herumlöschen (so Sachen wie kernel32.dll, explorer.exe, usw ...) *eg* -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at