/u/6253/hk.png?f=community)
"Happiness is a way of travel, not a destination."
--Roy Goodman
Dat was met Code Red ook zo hoor, heel veel dubbele hosts. Er zijn dus blijkbaar echt veel mensen die een geinfecteerde bak hebben en die het gewoon niet weten. Als je dan naar zo'n pagibna toe gaat is het bijna altijd zo;n standaard IIS gemekker dat die page nog in aanbouw is ofzo...Op woensdag 19 september 2001 16:27 schreef willblack het volgende:
Zijn die getallen wel eerlijk? Elke worm-attack geeft een stuk of wat requests per host ..... 2500 / 5? = 500 effectief?
[deze advertentieruimte is te koop]
* Boomerang joins the club 
Me webserver is nog geen uurtje up en:
bash$ cat access_log | grep cmd.exe | wc -l
24
Leve die microsoft IIS troep
Me webserver is nog geen uurtje up en:
bash$ cat access_log | grep cmd.exe | wc -l
24
Leve die microsoft IIS troep
:strip_exif()/u/13938/head.gif?f=community)
Ik draai dus _wel_ een IIS server 
En ook bij mij wordt er regelmatig op de deur geklopt. Gelukkig is er voor die bezoekers niemand thuis
Mijn logs zijn ipv 13 KB, 300 KB. En allemaal wordt er gevraagdt naar
En ook bij mij wordt er regelmatig op de deur geklopt. Gelukkig is er voor die bezoekers niemand thuis
Mijn logs zijn ipv 13 KB, 300 KB. En allemaal wordt er gevraagdt naar
Ik vraag me af wanneer dit voorbij is.
Klopt. Daarom probeer ik altijd een beetje mijn bakkie up-to-date te houden.
//offtopic
Maar wat me erg opviel na doorlezen van dit topic, is dat veel gebruikers zich enorm ergeren aan IIS (Non-Windows Operating Systems, kweet ut
), maar ik ben nog maar sinds kort bezig met Linux en 8 mijn Linux kennis nog niet dusdanig dat ik een Linux-based server kan gaan draaien.Verder is IIS gebruikersvriendelijk, wat mij ook wel aanspreekt.
Als er nou eens onderscheid gemaakt wordt tussen de "ietwat ervaren" (waaronder ik
) en de "onwetenden" (lui die niet eens weten dat ze een IIS server draaien 
.Ik vind ut wel ergerlijk om steeds " IIS
" of " 
IIS gebruikers " te moeten lezen.Ik zit toch ook nie te zeuren op Linux/Unix servers
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
Tja, dit topic zit ook een beetje in het hol van de leeuw 
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
:strip_exif()/u/26373/anim4.gif?f=community)
Ach ja, de meeste IIS gebruikers ( ) denken dat als het eenmaal draait, ze er niks meer aan hoeven te doen. Als je dat wel weet ben je een IIS gebruiker (zonder )
Maar ja.. zeker voor een server is MS/IIS niet iets wat ik zou doen.. maar ja... iedereen z'n eigen keuze he, zolang je de boel maar goed onderhoud.. en omdat dat MS/IIS zo "makkelijk" is, verdiepen de meesten zich er niet in, en modderen maar wat aan.. gevolg: Virussen die lekker bandbreedte vreten.
gebruikers ( ) denken dat als het eenmaal draait, ze er niks meer aan hoeven te doen. Als je dat wel weet ben je een IIS gebruiker (zonder ) Maar ja.. zeker voor een server is MS/IIS niet iets wat ik zou doen.. maar ja... iedereen z'n eigen keuze he, zolang je de boel maar goed onderhoud.. en omdat dat MS/IIS zo "makkelijk" is, verdiepen de meesten zich er niet in, en modderen maar wat aan.. gevolg: Virussen die lekker bandbreedte vreten.
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
/u/26742/000000751.png?f=community)
Mja, je moet wel toegeven dat IIS wel erg veel lekken heeft, terwijl apache al 2 jaar zonder remote exploit (NB dit betekent niet bugloos) zit (afaik).Op woensdag 19 september 2001 22:27 schreef stokkie het volgende:
Ik vind ut wel ergerlijk om steeds " IIS
Ik zit toch ook nie te zeuren op Linux/Unix servers
:strip_exif()/u/7944/r-on.gif?f=community)
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
Ik vind het ergerlijk om elke dag van windhoos gasten te moeten aanhoren hoe geweeeeeeeeeeeeeeeeeeeeeeeeeeldig ze wel niet ijn want ze hebben ("een aap kan ook op knopjes drukken"Op woensdag 19 september 2001 22:27 schreef stokkie het volgende:
Ik vind ut wel ergerlijk om steeds " IIS
Ik zit toch ook nie te zeuren op Linux/Unix servers
) wel tien keer achter elkaar op het juiste knopje gedrukt en nu hebben ze een webserver Geweeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeldig
Alsof een aap dat niet kan. Een webserver is meer dan als aap tien keer achter elkaar per ongeluk het juiste knopje vinden. Dat irriteert me aan "de gemiddelde IIS gebruiker". De gemiddelde apache gebruiker heeft in elk geval httpd.conf al eens ge-edit (mag ik hopen), wat er in elk geval op duidt dat ie weet wat er ongeveer gebeurt.....
Even voor de duidelijkheid, geweldig voor je dat je zo'n prachtige webserver hebt, perfect zelfs als je een slimme gebruiker/admin ervan bent.... Maar de "gemiddelde" IIS gebruiker is de "aap die op de juiste knopjes drukte" en geen idee heeft wat ie eigenlijk doet. En van die servers stroomt mijn log voor de zoveelste keer (codered-1, codered2, deze nu weer) vol.
En daar
ik van ja 
[no personal flame intended]
Verwijderd
[semi-offtopic]
Ik associeer dit soort mensen (de gemiddelde Windhoos gebruiker dus) altijd met de "Computer Idee"
Ik weet het, het is niet netjes, maar ik denk dat ik hierin en op deze plek niet de enige ben. 0-)
[/semi-offtopic]
Ik associeer dit soort mensen (de gemiddelde Windhoos gebruiker dus) altijd met de "Computer Idee"
Ik weet het, het is niet netjes, maar ik denk dat ik hierin en op deze plek niet de enige ben. 0-)
[/semi-offtopic]
:strip_icc():strip_exif()/u/1522/crop5f4a0291a77ba_cropped.jpeg?f=community)
Verwijderd
grep cmd.exe custom_log | wc -l:
11395 Nee, gaat echt lekker
Tja gebruiksvriendelijkheid is inberdaad gewoon de pest voor services.
Ik merk het ook steeds vaker met Linux helaas.
Allemaal heel leuk dat het gebruiksvriendelijker wordt en zo voor de massa aantrekkelijk wordt. Het aantal gebruikers met Linux die zonder dat ze het weten allerlei services draaien neemt echter ook enorm toe. Lang leve de tooltjes alla webmin/linuxconf etc.
Hetzelfde geldt voor IIS. Het is echt maar een paar klikken om dat aan te zetten. Tja dan vind ik het niet zo vreemd, dat er wat leuke wormpjes zo'n systeem binnen dringen zonder dat de persoon het in de gaten heeft of er uberhaupt ooit gaat achter komen.
11395 Nee, gaat echt lekker
Tja gebruiksvriendelijkheid is inberdaad gewoon de pest voor services.
Ik merk het ook steeds vaker met Linux helaas.
Allemaal heel leuk dat het gebruiksvriendelijker wordt en zo voor de massa aantrekkelijk wordt. Het aantal gebruikers met Linux die zonder dat ze het weten allerlei services draaien neemt echter ook enorm toe. Lang leve de tooltjes alla webmin/linuxconf etc.
Hetzelfde geldt voor IIS. Het is echt maar een paar klikken om dat aan te zetten. Tja dan vind ik het niet zo vreemd, dat er wat leuke wormpjes zo'n systeem binnen dringen zonder dat de persoon het in de gaten heeft of er uberhaupt ooit gaat achter komen.
[quote]
Op donderdag 20 september 2001 13:54 schreef Mart! het volgende:
Die "betrere beheerder" weet wel waar die mee bezig is. Maar het gaat mij dus om die weetikveelhoeveel mensen die geen flauw idee hebben waar ze mee bezig zijn. Waarom installeer je dan uberhaupt windows NT/2k-server als je niet weet hoe dat werkt, wat het doet, enzo? (99% kans dat het illegale copien zijn)
Als je als beheerder niet doorhebt dat er constant een applicatie aan poort-80 staat te luisteren, be it IIS of een virus/worm, dat vind ik schandelijk. Die mensen zouden nooit van hun hele leven meer een server mogen opzetten! Om die mensen ben ik zo pissed off. Want zij horen geen server te hebben, en al helemaal geen IIS erop. Dat is dus niet alleen (wel gedeeltelijk...) een denkfout van MS om IIS standaard mee te installeren, het is toch vooral dom dat zij uberhaupt een server(tje) hebben.
Een verplichte sysadmincursus bij elke installatie van windowsNT/2k zou helemaal niet zo'n slecht idee zijn
Op donderdag 20 september 2001 13:54 schreef Mart! het volgende:
Maar daar gaat het juist om!
Die "betrere beheerder" weet wel waar die mee bezig is. Maar het gaat mij dus om die weetikveelhoeveel mensen die geen flauw idee hebben waar ze mee bezig zijn. Waarom installeer je dan uberhaupt windows NT/2k-server als je niet weet hoe dat werkt, wat het doet, enzo? (99% kans dat het illegale copien zijn
)Als je als beheerder niet doorhebt dat er constant een applicatie aan poort-80 staat te luisteren, be it IIS of een virus/worm, dat vind ik schandelijk. Die mensen zouden nooit van hun hele leven meer een server mogen opzetten! Om die mensen ben ik zo pissed off. Want zij horen geen server te hebben, en al helemaal geen IIS erop. Dat is dus niet alleen (wel gedeeltelijk...) een denkfout van MS om IIS standaard mee te installeren, het is toch vooral dom dat zij uberhaupt een server(tje) hebben.
Een verplichte sysadmincursus bij elke installatie van windowsNT/2k zou helemaal niet zo'n slecht idee zijn
op @home en andere (grote) kabel/adsl 24/7 ISPs is dat vrij normaal - die hebben vrij vaak een win2k/nt routertje of servertje ofzo met (zonder het te weten
) IIS, zonder updates en dus geinfecteerd.....
Aarg... gister 40 threads.. nu 72!! Staat nu nog geen 10 min aan
bash$ cat access_log | grep cmd.exe | wc -l
72
bash$ cat access_log | grep cmd.exe | wc -l
72
Je installeert 2000 Advanced server natuurlijk omdat het cool is (en veeeeeel duurder maar ja, ik ben een coole gozer dus heb em gekopieerd).. 2000 workstation is voor mietjes!!!!
Domme uitspraak ja, maar er zijn wel een hoop mensen die min of meer zo denken, en de meesten daarvan gaan nu hard op hun bek. Het gevolg? Tja.. als je dat niet weet moetje dit topic nog maar es helemaal doorlezen
Ook zijn er genoeg mensen die denken dat ze cool zijn als ze hun eigen web-server hebben draaien.. dat ze niet eens weten hoe ze een patch moeten installeren zal hun een zorg zijn... nogmaals.. het gevolg?? ach ja.
Dit geld zeker voor windows, maar idd ook steeds meer voor linux met bijbehorende "foute" config tooltjes. Als ik een server o.i.d. installeerd gebruik ikzelf linux, en config ALLES met de hand! (= vi /etc/configfiletje etc.) Waarom? Dan weet ik precies wat waar en waarom het draait. Als je daar geen tijd voor hebt en zo snel mogelijk iets wilt laten draaien om "cool" te wezen.. ach ja... als jij denkt dat het "cool" is om een webserver o.i.d. te hebben draaien
Domme uitspraak ja, maar er zijn wel een hoop mensen die min of meer zo denken, en de meesten daarvan gaan nu hard op hun bek. Het gevolg? Tja.. als je dat niet weet moetje dit topic nog maar es helemaal doorlezen
Ook zijn er genoeg mensen die denken dat ze cool zijn als ze hun eigen web-server hebben draaien.. dat ze niet eens weten hoe ze een patch moeten installeren zal hun een zorg zijn... nogmaals.. het gevolg?? ach ja.
Dit geld zeker voor windows, maar idd ook steeds meer voor linux met bijbehorende "foute" config tooltjes. Als ik een server o.i.d. installeerd gebruik ikzelf linux, en config ALLES met de hand! (= vi /etc/configfiletje etc.) Waarom? Dan weet ik precies wat waar en waarom het draait. Als je daar geen tijd voor hebt en zo snel mogelijk iets wilt laten draaien om "cool" te wezen.. ach ja... als jij denkt dat het "cool" is om een webserver o.i.d. te hebben draaien
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
* Boomerang heeft ff een bestand gemaakt met de naam default.ida en dat is een php bestand
Het volgende staat erin:
Hey there... Please patch your IIS. You're infected with the code red virus. This is a 404
Het volgende staat erin:
Hey there... Please patch your IIS. You're infected with the code red virus. This is a 404
edit:
300'ste post
* Boomerang trekt de champagne open en schenkt iedereen een glaasje in
op naar de 1000
300'ste post
* Boomerang trekt de champagne open en schenkt iedereen een glaasje in
op naar de 1000
Verwijderd
Bovenstaand scriptje is veel coolerOp donderdag 20 september 2001 16:53 schreef webleraar het volgende:
/me heeft ff een bestand gemaakt met de naam default.ida en dat is een php bestand
Het volgende staat erin:
Hey there... Please patch your IIS. You're infected with the code red virus. This is a 404
Huh......Waarom gaat m'n pjoeter nou uit?
Lol, en HOE moet de geinfecteerde dit gaan lezen? Het is immers een programmatje dat dit uitvoerd en geen gebruiken met een browser
Da weetik ook wel... just 4 funOp donderdag 20 september 2001 17:56 schreef wouzer het volgende:
[..]
Lol, en HOE moet de geinfecteerde dit gaan lezen? Het is immers een programmatje dat dit uitvoerd en geen gebruiken met een browser
tis weer eens wa anders in die logs he
inderdaad... maak dan een scriptje daat met behulp van diezelfde exploit een "net send localhost heej eikel je bent geïnfecteerd met de nimda-worm"-scriptOp donderdag 20 september 2001 17:56 schreef wouzer het volgende:
[..]
Lol, en HOE moet de geinfecteerde dit gaan lezen? Het is immers een programmatje dat dit uitvoerd en geen gebruiken met een browser
ik weet niet of 't precies zo moet, maar aan een popup op de geïnfecteerde server heb je in ieder geval meer
"Happiness is a way of travel, not a destination."
--Roy Goodman
Misschien iemand die aan een dergelijk script wil meewerken, het lijkt me namelijk bes wel moeilijk (kannut mis hebben)
:strip_icc():strip_exif()/u/10190/debian2.jpg?f=community)
Leven is het meervoud van lef | In order to make an apple pie from scratch, you must first create the universe.
't was ook zeker niet de bedoeling hier een flame-war te ontketenen. Maar als prof laat ik me niet zomaar de les lezen Maar je hebt gelijk, de onwetenden maken het leven van de Apache server beheerders zo zwaar Het is inderdaad vrij kut dat dergelijke lekken in IIS zorgen voor zo veel meer netwerkverkeer. Gelukkig brengt MS vrij snel patches uit voor dit soort dingen, maar eigenlijk hadden ze er niet in moeten zitten. Verder is de worm niet bijzonder, maakt gebruik van gaten die een normale beheerder (een goede dus) allang heeft gedicht.
Maar je hebt gelijk, de onwetenden maken het leven van de Apache server beheerders zo zwaar Het is inderdaad vrij kut dat dergelijke lekken in IIS zorgen voor zo veel meer netwerkverkeer. Gelukkig brengt MS vrij snel patches uit voor dit soort dingen, maar eigenlijk hadden ze er niet in moeten zitten. Verder is de worm niet bijzonder, maakt gebruik van gaten die een normale beheerder (een goede dus) allang heeft gedicht.
:strip_icc():strip_exif()/u/3163/smallcat.jpg?f=community)
Ik geloof niet dat élke keer dat iemand probeert cmd.exe aan te roepen op je server je te maken hebt met een virus. Het gebeurt op mijn FreeBSD bak al máánden (maar het lukt niet ). Gedeeltelijk zijn het gewoon hack pogingen waarin iemand automatisch of handmatig probeert in je servert in te breken. Eikels.
). Gedeeltelijk zijn het gewoon hack pogingen waarin iemand automatisch of handmatig probeert in je servert in te breken. Eikels.
:strip_exif()/u/2175/farenia.gif?f=community)
:strip_exif()/u/24323/esd1.gif?f=community)
Mijn grote vraag: werkt dat script wel
Als ik op een geïnfecteerde bak http://IP/scripts/root.exe doe krijg ik mooi een antwoord: file not found
Als ik op een geïnfecteerde bak http://IP/scripts/root.exe doe krijg ik mooi een antwoord: file not found
Anti Geluidsmuur Front Amstelveen telt 17.800 lantaarnpalen; hoeveel heeft jouw gemeente?
Verwijderd
Let op de permissies van het bestandje en haar bovenliggende directories!Op vrijdag 21 september 2001 23:21 schreef Vaagharses het volgende:
Mijn grote vraag: werkt dat script wel
Als ik op een geïnfecteerde bak http://IP/scripts/root.exe doe krijg ik mooi een antwoord: file not found
Verder zul je in een .htaccess aan moeten geven dat hij door de php-parser gehaald wordt.
Ten slotte moet je .htaccess ook nog een werken voor die dir (dus niet iets van een "allowOveride none" hebben staan
).
Mijn scriptje doet het keurig:
http://www.arnoldusnet.dhs.org/scripts/root.exe
Maar mijn vraag was meer, doet dit script wat het moet doen de andere kant plat gooien
http://www.arnoldusnet.dhs.org/scripts/root.exe
Maar mijn vraag was meer, doet dit script wat het moet doen
de andere kant plat gooien
Anti Geluidsmuur Front Amstelveen telt 17.800 lantaarnpalen; hoeveel heeft jouw gemeente?
/u/25932/icon.png?f=community){kind=icon}
HMM, is ff in m'n logje gekeken, wist niet dat ik zoveel aanvragen had
Keb er duizenden gehad de afgelopen 2 dagen....
Dat terwijl er geen website op draait....
Allemaal /script en cmd.exe enzo....
Keb er duizenden gehad de afgelopen 2 dagen....
Dat terwijl er geen website op draait....
Allemaal /script en cmd.exe enzo....
Verwijderd
Ik weet niet of je nu gewoon nog een keer extra de source-code uitspuugt.Op zaterdag 22 september 2001 00:03 schreef Vaagharses het volgende:
Mijn scriptje doet het keurig:
http://www.arnoldusnet.dhs.org/scripts/root.exe
Maar mijn vraag was meer, doet dit script wat het moet doen
Maar het is dus wel de bedoeling dat het ding door de php-parser heen gaat he
(dus niet plain html).En reken maar dat het ding dan plat zal gaan als hij geinfecteerd is.
Dit is gegenereerd door PHP 4 aan de hand van deze source:
http://www.arnoldusnet.dhs.org/root.source
Maar waarom ik me afvroeg of dit werkte: ik had een attack om 22:58 en om 23:00 kon ik het IP gewoon pingen beetje vaag dus. Of natuurlijk al gereboot.
http://www.arnoldusnet.dhs.org/root.source
Maar waarom ik me afvroeg of dit werkte: ik had een attack om 22:58 en om 23:00 kon ik het IP gewoon pingen
beetje vaag dus. Of natuurlijk al gereboot.
Anti Geluidsmuur Front Amstelveen telt 17.800 lantaarnpalen; hoeveel heeft jouw gemeente?
Wordt liever ziek van de beheerderders van de geinfecteerde servers, MS heeft patches uitgebracht en het is de verantwoordelijkheid van de beheerders van de gecopieerde stoere Database Advanced win2k server om die up te daten maarja, als je dom bent en niet weet wat IIS is en dus ook niet weet dat die draait (je bent namelijk win9x n00b en hebt niet meer verstand van win2kADS dan dat het een desktop heeft), dan kun je ook niet updaten en daar komen al die geinfecteerde machines vandaan....
Verwijderd
ik probeer een scriptje te maken wat automagisch hosts die mij scannen (nimda) te blokkeren.
Ik heb nu dit:
alleen dan werkt niet want dan krijg ik de volgende foutmelding:
Ik heb totaal geen verstand van scripting en heb dit op basis van het scriptje van Wizard_of_OS in elkaar gezet. Misschien dat iemand zou kunnen kijken of dit werkende te krijgen is.
geeft overigens wel een mooie lijst met IP adressen....
Alvast bedankt.
Ik heb nu dit:
code:
1
2
3
4
5
6
7
| #!/bin/sh cd /var/log/httpd/ for i in 'cat access_log | grep scripts | cut -d" " -f1 | sort -u'; do iptables -I INPUT -s $i -j DROP; done |
alleen dan werkt niet
want dan krijg ik de volgende foutmelding:code:
1
2
| Bad argument `access_log' Try `iptables -h' or 'iptables --help' for more information. |
Ik heb totaal geen verstand van scripting en heb dit op basis van het scriptje van Wizard_of_OS in elkaar gezet. Misschien dat iemand zou kunnen kijken of dit werkende te krijgen is.
code:
1
| 'cat access_log | grep scripts | cut -d" " -f1 | sort -u |
geeft overigens wel een mooie lijst met IP adressen....
Alvast bedankt.
:strip_icc():strip_exif()/u/29534/moto-icon.jpg?f=community){kind=icon}
hee, bij mij lijkt 't minder te worden
nog maar z'n 2 aanvallen per uur
nog maar z'n 2 aanvallen per uur
"Happiness is a way of travel, not a destination."
--Roy Goodman
Ik had bij de tweede week CRII al besloten om alle verkeer van 24.132.x.x te blocken.
Resultaat: slechts 41 nimda-hits. Beetje Cru maar ja
Resultaat: slechts 41 nimda-hits. Beetje Cru maar ja
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
:strip_exif()/u/17021/logo.gif?f=community){kind=logo}
:strip_icc():strip_exif()/u/2277/companioncube.jpg?f=community)
24.132 » klinkt als sjelloOp zondag 23 september 2001 13:02 schreef BackSlash32 het volgende:
Ik had bij de tweede week CRII al besloten om alle verkeer van 24.132.x.x te blocken.
Resultaat: slechts 41 nimda-hits. Beetje Cru maar ja
tracert 24.132.1.1 » yup, sjello/upc
tyrips, tywreps, tiewreps, tiereps, tie raps, ripties, taiwraps, kabelbindbandjes » Tie Wraps
\o/
:strip_exif()/u/31824/crop5d7f50c68cffc_cropped.gif?f=community)
Ik heb 'm dus ook!
Wat er tegen doen, gewoon het scripje bakken?
Ik heb een Linux server, maar zo thuis ben ik nou ook weer niet in Linux, aldoende leert men toch....?
Wat er tegen doen, gewoon het scripje bakken?
Ik heb een Linux server, maar zo thuis ben ik nou ook weer niet in Linux, aldoende leert men toch....?
Laten we weer 's bierbrouwen of gewoon gekke dingen bouwen en knutselen. YEAH!
RIP Lada 2105 "Igor" 31-12-1992 - † 21-02-2014. De nieuwe Igor: Tesla model 3 SR+ 21-08-2020
huhOp woensdag 26 september 2001 13:45 schreef zwahiel het volgende:
Ik heb 'm dus ook!
Wat er tegen doen, gewoon het scripje bakken?
Ik heb een Linux server, maar zo thuis ben ik nou ook weer niet in Linux, aldoende leert men toch....?
Linux is niet infecteerbaar door deze worm, we worden alleen aangevallen door domme IIS servers die in het kader van "alles is MS" denken dat wij ook IIS draaien
En al doende schrijven wij een scriptje die de systeembeheerders van deze IIS machientjes er op de een of andere manier (reboot, e-mailtje) op atent maakt dat hij een worm heeft.
Maar linux of apache heeft nergens last van