nicht angemeldet
Systemzugriff??? HELP!!!!
Ich hab in meinem Server-Logfile folgende Einträge gefunden:
80.193.181.59 - - [22/Feb/2003:14:40:23 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 821
192.168.0.2 - - [25/Feb/2003:20:17:35 +0100] "OPTIONS / HTTP/1.1" 200 0
192.168.0.2 - - [25/Feb/2003:20:17:35 +0100] "PROPFIND /%28e%29%20brenner HTTP/1.1" 405 743
217.1.18.33 - - [28/Feb/2003:14:25:57 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 815
217.1.18.33 - - [28/Feb/2003:14:26:08 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 815
217.1.18.33 - - [28/Feb/2003:14:26:09 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 815
217.1.18.33 - - [28/Feb/2003:14:26:10 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 815
217.1.18.33 - - [28/Feb/2003:14:26:11 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 815
217.1.18.33 - - [28/Feb/2003:14:26:13 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 815
217.1.18.33 - - [28/Feb/2003:14:26:13 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 815
217.1.18.33 - - [28/Feb/2003:14:26:14 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 815
217.1.18.33 - - [28/Feb/2003:14:26:15 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 815
217.1.18.33 - - [28/Feb/2003:14:26:16 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 81
Und noch einige weitere. Was hat das zu bedeuten??? Ich hab bammel, dass da wer in meinem System war...
Bitte um Aufklärung - Peter
--
Es gibt immer eine lösung - auch wenn sie keiner findet!!
Es gibt immer eine lösung - auch wenn sie keiner findet!!
-
Hallo Peter,
[...]
217.1.18.33 - - [28/Feb/2003:14:26:16 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 81
Und noch einige weitere. Was hat das zu bedeuten??? Ich hab bammel, dass da wer in meinem System war...hast du dir die Zeilen mal genau angeschaut? - dann wirst du feststellen, das es fast immer einen 404er gab, die Datei also nicht vorhanden war (auf einem Windows-Server sind die diese Dateien vermutlich vorhanden). Also ist alles vermutlich (man möge mich korrigieren, wenn ich falsch liege) halb so wild :-)
Grüße aus Nürnberg
Tobias--
sh:( fo:) ch:? rl:( br:< n4:& ie:% mo:| va:) de:] zu:) fl:( ss:| ls:[ js:|
(Selfcode -> http://emmanuel.dammerer.at/selfcode.html)-
Hi du Witzbold!
auf einem Windows-Server sind die diese Dateien vermutlich vorhanden
Witzbold! Ich hab WinXP!
Peter
-
Hallo PeterK,
Witzbold! Ich hab WinXP!
selber Schuld :-) - das ändert aber nichts daran, dass die Dateien nicht vorhanden sind...
Grüße aus Nürnberg
Tobias--
sh:( fo:) ch:? rl:( br:< n4:& ie:% mo:| va:) de:] zu:) fl:( ss:| ls:[ js:|
(Selfcode -> http://emmanuel.dammerer.at/selfcode.html) -
Hi Peter
Witzbold! Ich hab WinXP!
Klar du weißt natürlich welches Betriebssystem du benutzt. Aber da du keine Angabe über dein System (Betriebssystem, Server) gemacht hast kann Tobias ja nicht wissen, dass du Apache nicht auf einer UNIX-Workstation oder einem Linux-PC laufen lässt. Apache ist für viele sehr mit Linux verbunden.
Einen schönen Abend noch
Johannes
-
-
-
Hallo PeterK,
Ich hab in meinem Server-Logfile folgende Einträge gefunden:
80.193.181.59 - - [22/Feb/2003:14:40:23 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 821
[...]
Und noch einige weitere. Was hat das zu bedeuten??? Ich hab bammel, dass da wer in meinem System war...keine Panik, das ist "nur" Nimda. Sorgen must du dir nur machen, wenn du den IIS einsetzt und keine aktuellen Sicherheits-Patches eingespielt hast.
Grüße,
Peter
-
Hi!
Das Log stammt vom Apache. IIS hab ich nich bewusst instsalliert, aber war nich sowas bei XP dabei???
Peter
-
hallo,
Das Log stammt vom Apache. IIS hab ich nich bewusst instsalliert, aber war nich sowas bei XP dabei???
Ich habe solche Sachen auch regelmäßig in meinen Apache-logs stehen. Kein Grund zur Beunruhigung. Schalte deinen Apache mal kurz aus und lösche die logs, falls du sie nicht zwingend noch wegen irgendwelcher anderen Meldungen brauchst. Dann startest du ihn neu und schaust mal nach, von welcher IP dieses Zeugs kommt (in der access.log). Wenn du Glück hast, kannst du über http://IP-Adresse sogar herausfinden, wer dir da das böse Teil schicken wollte.
Wir haben über diese log-Einträge bereits lange und breit diskutiert, es gibt mehrere umfangreiche Threads dazu im Archiv, schau mal nach.
Der IIS 5 ist tatsächlich bei WinXP dabei, wird aber nicht "default" auch installiert. Wenn du ihn einsetzen möchtest, mußt du extra über Systemsteuerung/Software sagen, daß du das gute Stück benutzen möchtest. Sobald du ihn installierst und mit deinem Rechner online gehst, kann es allerdings ohne weitere Sicherheitsvorkehrungen übel enden.
Ich habe IIS 5 bei mir laufen, neben dem Apache, und trotzdem schaden mir solche "Angriffe" nicht. Wenn man weiß, wie es geht, kann man diese Gefahrenquelle relativ leicht ausschalten, obwohl es trotzdem in den Apache-logs dann die Protokolleinträge solcher Überfallversuche gibt.
Grüße aus Berlin
Christoph S.
-
-