Is er ook al zo'n leuk scriptje voor windows-iis ?Op dinsdag 18 september 2001 21:30 schreef Flat© het volgende:
[..]
tja maar dan heb ik niet van deze leuke stats
:strip_icc():strip_exif()/u/1522/crop5f4a0291a77ba_cropped.jpeg?f=community)
Gheh, gaat lekker zo. Heb er inmiddels alweer ruim 5x zoveel als vanmiddag 
Het zal wel niet, maar het zou maar wel.
Verwijderd
Hihi,
Zit nu een kleine 30 min. online via ISDN en heb inmiddels al zo'n 63 pogingen binnen.
Uit oa:
Polen
Duitsland
Italie
Nederland
.il (vraag me ff niet welk land het is
)
Ben ik ff blij dat ik ipchains helemaal paranoide heb ge-configged
-----
Nu: 00:40 uur is de couter al weer opgelopen naar zo'n 247.
Nasty virusje
Dat gaat morgen weer een hoop media opeveren
Zit nu een kleine 30 min. online via ISDN en heb inmiddels al zo'n 63 pogingen binnen.
Uit oa:
Polen
Duitsland
Italie
Nederland
.il (vraag me ff niet welk land het is
)Ben ik ff blij dat ik ipchains helemaal paranoide heb ge-configged
-----
Nu: 00:40 uur is de couter al weer opgelopen naar zo'n 247.
Nasty virusje
Dat gaat morgen weer een hoop media opeveren
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
Ik heb toch ŜŜ@#$#$! het recht om mijn server hier te runnen, ik betaal er niet voor niks voor en ik veroorzaak geen overlast
Ik schreef uurtje geleden ofzo al richting de NLLGG: laat de worm lekker z'n gang gaan, miljoenen computers infecteren, data-loss veroorzaken, servers crashen, het internetten onmogelijk maken, misschien gaan mensen eindelijk hun ogen opendoen
true, true..Op dinsdag 18 september 2001 23:31 schreef beelzebubu het volgende:
[..]
Ik heb toch ŜŜ@#$#$! het recht om mijn server hier te runnen, ik betaal er niet voor niks voor en ik veroorzaak geen overlast
't is alleen zo lullig dat het in je AV staat dat het niet mag.
We hebben tot nu toe een (typisch hollands
) gedoogbeleid meegemaakt, waar wellicht een einde aan komt door dit soort dingen.Wishful thinking ben ik bang.Ik schreef uurtje geleden ofzo al richting de NLLGG: laat de worm lekker z'n gang gaan, miljoenen computers infecteren, data-loss veroorzaken, servers crashen, het internetten onmogelijk maken, misschien gaan mensen eindelijk hun ogen opendoen
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
Mijn ISP is de universiteit Utrecht, dan geldt de AV niet voor mij vrees ikOp dinsdag 18 september 2001 23:53 schreef BackSlash32 het volgende:
't is alleen zo lullig dat het in je AV staat dat het niet mag.
We hebben tot nu toe een (typisch hollands
I know
:strip_exif()/u/21958/icon.gif?f=community){kind=icon}
Quote van /. :
Mijn werk voor morgenochtend vroeg:
Stap 1 is Opera/Mozilla op alle 40 clients installeren als default browser
stap 2 Users nogmaals wijzen op attachments (ook al is .exe geblocked)
Yuck
Mijn werk voor morgenochtend vroeg:
Stap 1 is Opera/Mozilla op alle 40 clients installeren als default browser
stap 2 Users nogmaals wijzen op attachments (ook al is .exe geblocked)
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
:strip_icc():strip_exif()/u/12582/me_50x502.jpg?f=community)
Verwijderd
Je kan best de URLSCAN installeren, wel van Micro$oft zelf maar toch de moeite. 
http://www.microsoft.com/technet/security/urlscan.asp
URLScan screens all incoming requests to an IIS web server, and only allows ones to pass that comply with a ruleset created by the administrator. This significantly improves the security of the server by helping ensure that it only responds to valid requests.
The tool allows the administrator to filter requests based on length, character set, content and other factors. A default ruleset is provided, which can be customized to meet the needs of a particular server.
http://www.microsoft.com/technet/security/urlscan.asp
URLScan screens all incoming requests to an IIS web server, and only allows ones to pass that comply with a ruleset created by the administrator. This significantly improves the security of the server by helping ensure that it only responds to valid requests.
The tool allows the administrator to filter requests based on length, character set, content and other factors. A default ruleset is provided, which can be customized to meet the needs of a particular server.
code:
1
2
3
| Sep 18 15:39:11 Haranaka kernel: Mismatch in TCPACCEPT IN=eth1 OUT= MAC=00:e0:4c:3d:66:43:00:d0:00:97:4f:fc:08:00 SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=44 TOS=0x00 PREC=0x00 TTL=126 ID=49113 DF PROTO=TCP SPT=2751 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 |
Ik ben er nu achter dat deze message en vele als deze dus komen door die worm. Maar wat ik niet zo leuk vind is dat deze message in mijn beeld worden gegooit zodra ze binnen komen. En dat is vaak, de teller staat nu op 1885
Hoe stel ik in dat hij ze wel naar die logs moet schijven maar van mijn beeld moet afblijven?
...
Verwijderd
Damn in slechts 5 uur, alweer bijna 2500 erbij
Dat zijn er ruim 8 per minuut
Server is nog nooit zo druk geweest joh.
Eens geld gaan vagen voor het gebruik van mijn bandbreedte.
Dat zijn er ruim 8 per minuut
Server is nog nooit zo druk geweest joh.
Eens geld gaan vagen voor het gebruik van mijn bandbreedte.
/u/6253/hk.png?f=community)
deze heb ik zelf eventjes geschreven vanmiddag, maar 't stelt niet veel voor om 't zelf eventjes te maken hoor
"Happiness is a way of travel, not a destination."
--Roy Goodman
Nee, deze worm maakt op gratieuze wijze gebruik van de mogelijkheden die MS hem geeft..... Zeg daar maar yuck tegen. Die worm zelf is gewoon slim gebruikt en geeft een topje van de ijsberg van hoeveel veiligheidslekken die die brakke systemen van MS ("Nee hoor, NT is volkomen veilig") hebben.Op woensdag 19 september 2001 00:19 schreef BackSlash32 het volgende:
Yuck
Ik vind het wel goed dat er eindelijk eens een worm komt die alles verneukt. Mensen moeten hun kop stoten! Anders leren ze het nooit. Laat het de computers formatteren. Laat het de hardware vernietigen. Whatever. INSTALLEER DIE UPDATES DAN EENS! Zo leert men het misschien eens....
Da's toch nog yuck als je ermee/omheen moet werken.
In ieder geval: elke client heeft nu Opera als default browser
als je ermee/omheen moet werken.In ieder geval: elke client heeft nu Opera als default browser
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
Ik heb niet voor MS' zooi als mijn OS gekozen en heb nergens last vanOp woensdag 19 september 2001 09:18 schreef BackSlash32 het volgende:
Da's toch nog yuck
Verwijderd
Tuurlijk wel...Op dinsdag 18 september 2001 22:08 schreef beelzebubu het volgende:
[..]
Ziet er geweldig uit
Maar...
Mijn apache ondersteunt volgens mij geen PHP
En ik heb net dat scriptje getest, lijkt goed te werken,
ik moet hem alleen nog effe renamen.
MAAR heeft iemand een idee of dit wel slim is???
s/ondersteunt geen PHP/ik heb PHP niet geinstalleerd/
Als de sufferds zo slim zijn hun server niet up te daten vraag ik af of ze genoeg hersencellen hebben om te snappen dat er uberhaupt een worm opzit. Laat staan dat ze doorhebben dat niet die worm maar jij de server afslootMAAR heeft iemand een idee of dit wel slim is???
:strip_exif()/u/26373/anim4.gif?f=community)
grep cmd.exe access_log | wc -l
18168
Lachu hoor
Anyway... in crontab gegooit en op m'n webpagina gezet.
"This machine has been attacked by the nimda worm xxxxxx times" . TOch leuk voor de stats
18168
Lachu hoor
Anyway... in crontab gegooit en op m'n webpagina gezet.
"This machine has been attacked by the nimda worm xxxxxx times" . TOch leuk voor de stats
edit:
OOps.. telde wat dubbele dingen
OOps.. telde wat dubbele dingen
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
:strip_exif()/u/2175/farenia.gif?f=community)
Dat ligt aan je zelf om te bepalen....Op woensdag 19 september 2001 10:09 schreef Mainwave het volgende:
[..]
Tuurlijk wel...
En ik heb net dat scriptje getest, lijkt goed te werken,
ik moet hem alleen nog effe renamen.
MAAR heeft iemand een idee of dit wel slim is???
Je bent volgens de letter van de wet strafbaar.... Maar ik denk dat geen een rechter het in zijn hoofd haalt om jouw daar op te veroordelen.
Ik zie het zelf altijd als volgt.
Je ziet man op het spoor staan, hij ziet niet dat de trein er aankomt en hij kan je ook niet horen. Wat doe je .... je rent op hem af en duwt hem "HARDHANDIG" weg van het spoor. Man breekt zijn arm door dat hij valt maar hij is wel gered, jij bent een held of niet?. Hij zou jouw theoretisch kunnen aan klagen voor geweldpleging tegen hem. Hij zou volledig in zijn recht staan. Maar geen 1 rechter die jouw daarvoor zou veroordelen, maar toch.
Programmer - an organism that turns coffee into software.
:strip_icc():strip_exif()/u/31516/crop6112a2ad94e95.jpg?f=community)
Lekker .. zo'n worm :-/
Op m'n werk is het netwerk down gebracht en worden alle computers 1 voor 1 gecontroleerd. Gelukkig heb ik een laptop die in kan bellen
Voor een groot bedrijf als dit (paar duizend werknemers) gaat dit weer in de miljoenen lopen, want we kunnen niets doen, en waarschijnlijk duurt het nog wel een paar dagen (CodeRed heeft een week non-productiviteit opgeleverd).
Op m'n werk is het netwerk down gebracht en worden alle computers 1 voor 1 gecontroleerd. Gelukkig heb ik een laptop die in kan bellen
Voor een groot bedrijf als dit (paar duizend werknemers) gaat dit weer in de miljoenen lopen, want we kunnen niets doen, en waarschijnlijk duurt het nog wel een paar dagen (CodeRed heeft een week non-productiviteit opgeleverd).
There are no stupid questions, but there are a lot of inquisitive idiots.
Geef de systeembeheerders een harde schop dat ze hun zooi moeten updaten.. dan was er NIKS aan de hand geweestOp woensdag 19 september 2001 14:45 schreef Wizard_of_OS het volgende:
Lekker .. zo'n worm :-/
Op m'n werk is het netwerk down gebracht en worden alle computers 1 voor 1 gecontroleerd. Gelukkig heb ik een laptop die in kan bellen
Voor een groot bedrijf als dit (paar duizend werknemers) gaat dit weer in de miljoenen lopen, want we kunnen niets doen, en waarschijnlijk duurt het nog wel een paar dagen (CodeRed heeft een week non-productiviteit opgeleverd).
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
Verwijderd
Zijn die getallen wel eerlijk? Elke worm-attack geeft een stuk of wat requests per host ..... 2500 / 5? = 500 effectief?
:strip_exif()/u/7944/r-on.gif?f=community)
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
Mmmjah... op m'n werk heb ik niks te kiezen qua OS (behalve dan NT4 of win2k) in verband met 39 andere users die 'gewoon gebruiker' zijn, en een Main Office in Engeland wat niets anders toestaat.Op woensdag 19 september 2001 10:00 schreef beelzebubu het volgende:
[..]
Ik heb niet voor MS' zooi als mijn OS gekozen en heb nergens last van
Beetje lullig om dan dat argument aan te halen.
Draai ondanks dat lekker Linux+OpenOffice op m'n werk-laptop hoor
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
Dat was met Code Red ook zo hoor, heel veel dubbele hosts. Er zijn dus blijkbaar echt veel mensen die een geinfecteerde bak hebben en die het gewoon niet weten. Als je dan naar zo'n pagibna toe gaat is het bijna altijd zo;n standaard IIS gemekker dat die page nog in aanbouw is ofzo...Op woensdag 19 september 2001 16:27 schreef willblack het volgende:
Zijn die getallen wel eerlijk? Elke worm-attack geeft een stuk of wat requests per host ..... 2500 / 5? = 500 effectief?
[deze advertentieruimte is te koop]
* Boomerang joins the club
Me webserver is nog geen uurtje up en:
bash$ cat access_log | grep cmd.exe | wc -l
24
Leve die microsoft IIS troep
Me webserver is nog geen uurtje up en:
bash$ cat access_log | grep cmd.exe | wc -l
24
Leve die microsoft IIS troep
:strip_exif()/u/13938/head.gif?f=community)
Ik draai dus _wel_ een IIS server
En ook bij mij wordt er regelmatig op de deur geklopt. Gelukkig is er voor die bezoekers niemand thuis
Mijn logs zijn ipv 13 KB, 300 KB. En allemaal wordt er gevraagdt naar
En ook bij mij wordt er regelmatig op de deur geklopt. Gelukkig is er voor die bezoekers niemand thuis
Mijn logs zijn ipv 13 KB, 300 KB. En allemaal wordt er gevraagdt naar
Ik vraag me af wanneer dit voorbij is.
Klopt. Daarom probeer ik altijd een beetje mijn bakkie up-to-date te houden.
//offtopic
Maar wat me erg opviel na doorlezen van dit topic, is dat veel gebruikers zich enorm ergeren aan IIS (Non-Windows Operating Systems, kweet ut
), maar ik ben nog maar sinds kort bezig met Linux en 8 mijn Linux kennis nog niet dusdanig dat ik een Linux-based server kan gaan draaien.Verder is IIS gebruikersvriendelijk, wat mij ook wel aanspreekt.
Als er nou eens onderscheid gemaakt wordt tussen de "ietwat ervaren" (waaronder ik
) en de "onwetenden" (lui die niet eens weten dat ze een IIS server draaien 
.Ik vind ut wel ergerlijk om steeds " IIS
" of " IIS gebruikers " te moeten lezen.Ik zit toch ook nie te zeuren op Linux/Unix servers
Tja, dit topic zit ook een beetje in het hol van de leeuw
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
Ach ja, de meeste IIS gebruikers ( ) denken dat als het eenmaal draait, ze er niks meer aan hoeven te doen. Als je dat wel weet ben je een IIS gebruiker (zonder )
Maar ja.. zeker voor een server is MS/IIS niet iets wat ik zou doen.. maar ja... iedereen z'n eigen keuze he, zolang je de boel maar goed onderhoud.. en omdat dat MS/IIS zo "makkelijk" is, verdiepen de meesten zich er niet in, en modderen maar wat aan.. gevolg: Virussen die lekker bandbreedte vreten.
gebruikers ( ) denken dat als het eenmaal draait, ze er niks meer aan hoeven te doen. Als je dat wel weet ben je een IIS gebruiker (zonder ) Maar ja.. zeker voor een server is MS/IIS niet iets wat ik zou doen.. maar ja... iedereen z'n eigen keuze he, zolang je de boel maar goed onderhoud.. en omdat dat MS/IIS zo "makkelijk" is, verdiepen de meesten zich er niet in, en modderen maar wat aan.. gevolg: Virussen die lekker bandbreedte vreten.
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
/u/26742/000000751.png?f=community)
Mja, je moet wel toegeven dat IIS wel erg veel lekken heeft, terwijl apache al 2 jaar zonder remote exploit (NB dit betekent niet bugloos) zit (afaik).Op woensdag 19 september 2001 22:27 schreef stokkie het volgende:
Ik vind ut wel ergerlijk om steeds " IIS
Ik zit toch ook nie te zeuren op Linux/Unix servers
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
Ik vind het ergerlijk om elke dag van windhoos gasten te moeten aanhoren hoe geweeeeeeeeeeeeeeeeeeeeeeeeeeldig ze wel niet ijn want ze hebben ("een aap kan ook op knopjes drukken"Op woensdag 19 september 2001 22:27 schreef stokkie het volgende:
Ik vind ut wel ergerlijk om steeds " IIS
Ik zit toch ook nie te zeuren op Linux/Unix servers
) wel tien keer achter elkaar op het juiste knopje gedrukt en nu hebben ze een webserver Geweeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeldig
Alsof een aap dat niet kan. Een webserver is meer dan als aap tien keer achter elkaar per ongeluk het juiste knopje vinden. Dat irriteert me aan "de gemiddelde IIS gebruiker". De gemiddelde apache gebruiker heeft in elk geval httpd.conf al eens ge-edit (mag ik hopen), wat er in elk geval op duidt dat ie weet wat er ongeveer gebeurt.....
Even voor de duidelijkheid, geweldig voor je dat je zo'n prachtige webserver hebt, perfect zelfs als je een slimme gebruiker/admin ervan bent.... Maar de "gemiddelde" IIS gebruiker is de "aap die op de juiste knopjes drukte" en geen idee heeft wat ie eigenlijk doet. En van die servers stroomt mijn log voor de zoveelste keer (codered-1, codered2, deze nu weer) vol.
En daar
ik van ja [no personal flame intended]
Verwijderd
[semi-offtopic]
Ik associeer dit soort mensen (de gemiddelde Windhoos gebruiker dus) altijd met de "Computer Idee"
Ik weet het, het is niet netjes, maar ik denk dat ik hierin en op deze plek niet de enige ben. 0-)
[/semi-offtopic]
Ik associeer dit soort mensen (de gemiddelde Windhoos gebruiker dus) altijd met de "Computer Idee"
Ik weet het, het is niet netjes, maar ik denk dat ik hierin en op deze plek niet de enige ben. 0-)
[/semi-offtopic]
Verwijderd
grep cmd.exe custom_log | wc -l:
11395 Nee, gaat echt lekker
Tja gebruiksvriendelijkheid is inberdaad gewoon de pest voor services.
Ik merk het ook steeds vaker met Linux helaas.
Allemaal heel leuk dat het gebruiksvriendelijker wordt en zo voor de massa aantrekkelijk wordt. Het aantal gebruikers met Linux die zonder dat ze het weten allerlei services draaien neemt echter ook enorm toe. Lang leve de tooltjes alla webmin/linuxconf etc.
Hetzelfde geldt voor IIS. Het is echt maar een paar klikken om dat aan te zetten. Tja dan vind ik het niet zo vreemd, dat er wat leuke wormpjes zo'n systeem binnen dringen zonder dat de persoon het in de gaten heeft of er uberhaupt ooit gaat achter komen.
11395 Nee, gaat echt lekker
Tja gebruiksvriendelijkheid is inberdaad gewoon de pest voor services.
Ik merk het ook steeds vaker met Linux helaas.
Allemaal heel leuk dat het gebruiksvriendelijker wordt en zo voor de massa aantrekkelijk wordt. Het aantal gebruikers met Linux die zonder dat ze het weten allerlei services draaien neemt echter ook enorm toe. Lang leve de tooltjes alla webmin/linuxconf etc.
Hetzelfde geldt voor IIS. Het is echt maar een paar klikken om dat aan te zetten. Tja dan vind ik het niet zo vreemd, dat er wat leuke wormpjes zo'n systeem binnen dringen zonder dat de persoon het in de gaten heeft of er uberhaupt ooit gaat achter komen.
[quote]
Op donderdag 20 september 2001 13:54 schreef Mart! het volgende:
Die "betrere beheerder" weet wel waar die mee bezig is. Maar het gaat mij dus om die weetikveelhoeveel mensen die geen flauw idee hebben waar ze mee bezig zijn. Waarom installeer je dan uberhaupt windows NT/2k-server als je niet weet hoe dat werkt, wat het doet, enzo? (99% kans dat het illegale copien zijn)
Als je als beheerder niet doorhebt dat er constant een applicatie aan poort-80 staat te luisteren, be it IIS of een virus/worm, dat vind ik schandelijk. Die mensen zouden nooit van hun hele leven meer een server mogen opzetten! Om die mensen ben ik zo pissed off. Want zij horen geen server te hebben, en al helemaal geen IIS erop. Dat is dus niet alleen (wel gedeeltelijk...) een denkfout van MS om IIS standaard mee te installeren, het is toch vooral dom dat zij uberhaupt een server(tje) hebben.
Een verplichte sysadmincursus bij elke installatie van windowsNT/2k zou helemaal niet zo'n slecht idee zijn
Op donderdag 20 september 2001 13:54 schreef Mart! het volgende:
Maar daar gaat het juist om!
Die "betrere beheerder" weet wel waar die mee bezig is. Maar het gaat mij dus om die weetikveelhoeveel mensen die geen flauw idee hebben waar ze mee bezig zijn. Waarom installeer je dan uberhaupt windows NT/2k-server als je niet weet hoe dat werkt, wat het doet, enzo? (99% kans dat het illegale copien zijn
)Als je als beheerder niet doorhebt dat er constant een applicatie aan poort-80 staat te luisteren, be it IIS of een virus/worm, dat vind ik schandelijk. Die mensen zouden nooit van hun hele leven meer een server mogen opzetten! Om die mensen ben ik zo pissed off. Want zij horen geen server te hebben, en al helemaal geen IIS erop. Dat is dus niet alleen (wel gedeeltelijk...) een denkfout van MS om IIS standaard mee te installeren, het is toch vooral dom dat zij uberhaupt een server(tje) hebben.
Een verplichte sysadmincursus bij elke installatie van windowsNT/2k zou helemaal niet zo'n slecht idee zijn
op @home en andere (grote) kabel/adsl 24/7 ISPs is dat vrij normaal - die hebben vrij vaak een win2k/nt routertje of servertje ofzo met (zonder het te weten
) IIS, zonder updates en dus geinfecteerd.....
Aarg... gister 40 threads.. nu 72!! Staat nu nog geen 10 min aan
bash$ cat access_log | grep cmd.exe | wc -l
72
bash$ cat access_log | grep cmd.exe | wc -l
72
Je installeert 2000 Advanced server natuurlijk omdat het cool is (en veeeeeel duurder maar ja, ik ben een coole gozer dus heb em gekopieerd).. 2000 workstation is voor mietjes!!!!
Domme uitspraak ja, maar er zijn wel een hoop mensen die min of meer zo denken, en de meesten daarvan gaan nu hard op hun bek. Het gevolg? Tja.. als je dat niet weet moetje dit topic nog maar es helemaal doorlezen
Ook zijn er genoeg mensen die denken dat ze cool zijn als ze hun eigen web-server hebben draaien.. dat ze niet eens weten hoe ze een patch moeten installeren zal hun een zorg zijn... nogmaals.. het gevolg?? ach ja.
Dit geld zeker voor windows, maar idd ook steeds meer voor linux met bijbehorende "foute" config tooltjes. Als ik een server o.i.d. installeerd gebruik ikzelf linux, en config ALLES met de hand! (= vi /etc/configfiletje etc.) Waarom? Dan weet ik precies wat waar en waarom het draait. Als je daar geen tijd voor hebt en zo snel mogelijk iets wilt laten draaien om "cool" te wezen.. ach ja... als jij denkt dat het "cool" is om een webserver o.i.d. te hebben draaien
Domme uitspraak ja, maar er zijn wel een hoop mensen die min of meer zo denken, en de meesten daarvan gaan nu hard op hun bek. Het gevolg? Tja.. als je dat niet weet moetje dit topic nog maar es helemaal doorlezen
Ook zijn er genoeg mensen die denken dat ze cool zijn als ze hun eigen web-server hebben draaien.. dat ze niet eens weten hoe ze een patch moeten installeren zal hun een zorg zijn... nogmaals.. het gevolg?? ach ja.
Dit geld zeker voor windows, maar idd ook steeds meer voor linux met bijbehorende "foute" config tooltjes. Als ik een server o.i.d. installeerd gebruik ikzelf linux, en config ALLES met de hand! (= vi /etc/configfiletje etc.) Waarom? Dan weet ik precies wat waar en waarom het draait. Als je daar geen tijd voor hebt en zo snel mogelijk iets wilt laten draaien om "cool" te wezen.. ach ja... als jij denkt dat het "cool" is om een webserver o.i.d. te hebben draaien
"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney
* Boomerang heeft ff een bestand gemaakt met de naam default.ida en dat is een php bestand
Het volgende staat erin:
Hey there... Please patch your IIS. You're infected with the code red virus. This is a 404
Het volgende staat erin:
Hey there... Please patch your IIS. You're infected with the code red virus. This is a 404
edit:
300'ste post
* Boomerang trekt de champagne open en schenkt iedereen een glaasje in
op naar de 1000
300'ste post
* Boomerang trekt de champagne open en schenkt iedereen een glaasje in
op naar de 1000
Verwijderd
Bovenstaand scriptje is veel coolerOp donderdag 20 september 2001 16:53 schreef webleraar het volgende:
/me heeft ff een bestand gemaakt met de naam default.ida en dat is een php bestand
Het volgende staat erin:
Hey there... Please patch your IIS. You're infected with the code red virus. This is a 404
Huh......Waarom gaat m'n pjoeter nou uit?
Lol, en HOE moet de geinfecteerde dit gaan lezen? Het is immers een programmatje dat dit uitvoerd en geen gebruiken met een browser
Da weetik ook wel... just 4 funOp donderdag 20 september 2001 17:56 schreef wouzer het volgende:
[..]
Lol, en HOE moet de geinfecteerde dit gaan lezen? Het is immers een programmatje dat dit uitvoerd en geen gebruiken met een browser
tis weer eens wa anders in die logs he
inderdaad... maak dan een scriptje daat met behulp van diezelfde exploit een "net send localhost heej eikel je bent geïnfecteerd met de nimda-worm"-scriptOp donderdag 20 september 2001 17:56 schreef wouzer het volgende:
[..]
Lol, en HOE moet de geinfecteerde dit gaan lezen? Het is immers een programmatje dat dit uitvoerd en geen gebruiken met een browser
ik weet niet of 't precies zo moet, maar aan een popup op de geïnfecteerde server heb je in ieder geval meer
"Happiness is a way of travel, not a destination."
--Roy Goodman
Misschien iemand die aan een dergelijk script wil meewerken, het lijkt me namelijk bes wel moeilijk (kannut mis hebben)
:strip_icc():strip_exif()/u/10190/debian2.jpg?f=community)
Leven is het meervoud van lef | In order to make an apple pie from scratch, you must first create the universe.
't was ook zeker niet de bedoeling hier een flame-war te ontketenen. Maar als prof laat ik me niet zomaar de les lezen Maar je hebt gelijk, de onwetenden maken het leven van de Apache server beheerders zo zwaar Het is inderdaad vrij kut dat dergelijke lekken in IIS zorgen voor zo veel meer netwerkverkeer. Gelukkig brengt MS vrij snel patches uit voor dit soort dingen, maar eigenlijk hadden ze er niet in moeten zitten. Verder is de worm niet bijzonder, maakt gebruik van gaten die een normale beheerder (een goede dus) allang heeft gedicht.
Maar je hebt gelijk, de onwetenden maken het leven van de Apache server beheerders zo zwaar Het is inderdaad vrij kut dat dergelijke lekken in IIS zorgen voor zo veel meer netwerkverkeer. Gelukkig brengt MS vrij snel patches uit voor dit soort dingen, maar eigenlijk hadden ze er niet in moeten zitten. Verder is de worm niet bijzonder, maakt gebruik van gaten die een normale beheerder (een goede dus) allang heeft gedicht.
:strip_icc():strip_exif()/u/3163/smallcat.jpg?f=community)
Ik geloof niet dat élke keer dat iemand probeert cmd.exe aan te roepen op je server je te maken hebt met een virus. Het gebeurt op mijn FreeBSD bak al máánden (maar het lukt niet ). Gedeeltelijk zijn het gewoon hack pogingen waarin iemand automatisch of handmatig probeert in je servert in te breken. Eikels.
). Gedeeltelijk zijn het gewoon hack pogingen waarin iemand automatisch of handmatig probeert in je servert in te breken. Eikels.
:strip_exif()/u/24323/esd1.gif?f=community)
Mijn grote vraag: werkt dat script wel
Als ik op een geïnfecteerde bak http://IP/scripts/root.exe doe krijg ik mooi een antwoord: file not found
Als ik op een geïnfecteerde bak http://IP/scripts/root.exe doe krijg ik mooi een antwoord: file not found
Anti Geluidsmuur Front Amstelveen telt 17.800 lantaarnpalen; hoeveel heeft jouw gemeente?
Verwijderd
Let op de permissies van het bestandje en haar bovenliggende directories!Op vrijdag 21 september 2001 23:21 schreef Vaagharses het volgende:
Mijn grote vraag: werkt dat script wel
Als ik op een geïnfecteerde bak http://IP/scripts/root.exe doe krijg ik mooi een antwoord: file not found
Verder zul je in een .htaccess aan moeten geven dat hij door de php-parser gehaald wordt.
Ten slotte moet je .htaccess ook nog een werken voor die dir (dus niet iets van een "allowOveride none" hebben staan
).
Mijn scriptje doet het keurig:
http://www.arnoldusnet.dhs.org/scripts/root.exe
Maar mijn vraag was meer, doet dit script wat het moet doen de andere kant plat gooien
http://www.arnoldusnet.dhs.org/scripts/root.exe
Maar mijn vraag was meer, doet dit script wat het moet doen
de andere kant plat gooien
Anti Geluidsmuur Front Amstelveen telt 17.800 lantaarnpalen; hoeveel heeft jouw gemeente?
/u/25932/icon.png?f=community){kind=icon}
HMM, is ff in m'n logje gekeken, wist niet dat ik zoveel aanvragen had
Keb er duizenden gehad de afgelopen 2 dagen....
Dat terwijl er geen website op draait....
Allemaal /script en cmd.exe enzo....
Keb er duizenden gehad de afgelopen 2 dagen....
Dat terwijl er geen website op draait....
Allemaal /script en cmd.exe enzo....
Verwijderd
Ik weet niet of je nu gewoon nog een keer extra de source-code uitspuugt.Op zaterdag 22 september 2001 00:03 schreef Vaagharses het volgende:
Mijn scriptje doet het keurig:
http://www.arnoldusnet.dhs.org/scripts/root.exe
Maar mijn vraag was meer, doet dit script wat het moet doen
Maar het is dus wel de bedoeling dat het ding door de php-parser heen gaat he
(dus niet plain html).En reken maar dat het ding dan plat zal gaan als hij geinfecteerd is.
Dit is gegenereerd door PHP 4 aan de hand van deze source:
http://www.arnoldusnet.dhs.org/root.source
Maar waarom ik me afvroeg of dit werkte: ik had een attack om 22:58 en om 23:00 kon ik het IP gewoon pingen beetje vaag dus. Of natuurlijk al gereboot.
http://www.arnoldusnet.dhs.org/root.source
Maar waarom ik me afvroeg of dit werkte: ik had een attack om 22:58 en om 23:00 kon ik het IP gewoon pingen
beetje vaag dus. Of natuurlijk al gereboot.
Anti Geluidsmuur Front Amstelveen telt 17.800 lantaarnpalen; hoeveel heeft jouw gemeente?
Wordt liever ziek van de beheerderders van de geinfecteerde servers, MS heeft patches uitgebracht en het is de verantwoordelijkheid van de beheerders van de gecopieerde stoere Database Advanced win2k server om die up te daten maarja, als je dom bent en niet weet wat IIS is en dus ook niet weet dat die draait (je bent namelijk win9x n00b en hebt niet meer verstand van win2kADS dan dat het een desktop heeft), dan kun je ook niet updaten en daar komen al die geinfecteerde machines vandaan....
Verwijderd
ik probeer een scriptje te maken wat automagisch hosts die mij scannen (nimda) te blokkeren.
Ik heb nu dit:
alleen dan werkt niet want dan krijg ik de volgende foutmelding:
Ik heb totaal geen verstand van scripting en heb dit op basis van het scriptje van Wizard_of_OS in elkaar gezet. Misschien dat iemand zou kunnen kijken of dit werkende te krijgen is.
geeft overigens wel een mooie lijst met IP adressen....
Alvast bedankt.
Ik heb nu dit:
code:
1
2
3
4
5
6
7
| #!/bin/sh cd /var/log/httpd/ for i in 'cat access_log | grep scripts | cut -d" " -f1 | sort -u'; do iptables -I INPUT -s $i -j DROP; done |
alleen dan werkt niet
want dan krijg ik de volgende foutmelding:code:
1
2
| Bad argument `access_log' Try `iptables -h' or 'iptables --help' for more information. |
Ik heb totaal geen verstand van scripting en heb dit op basis van het scriptje van Wizard_of_OS in elkaar gezet. Misschien dat iemand zou kunnen kijken of dit werkende te krijgen is.
code:
1
| 'cat access_log | grep scripts | cut -d" " -f1 | sort -u |
geeft overigens wel een mooie lijst met IP adressen....
Alvast bedankt.
:strip_icc():strip_exif()/u/29534/moto-icon.jpg?f=community){kind=icon}
hee, bij mij lijkt 't minder te worden
nog maar z'n 2 aanvallen per uur
nog maar z'n 2 aanvallen per uur
"Happiness is a way of travel, not a destination."
--Roy Goodman
Ik had bij de tweede week CRII al besloten om alle verkeer van 24.132.x.x te blocken.
Resultaat: slechts 41 nimda-hits. Beetje Cru maar ja
Resultaat: slechts 41 nimda-hits. Beetje Cru maar ja
ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device
:strip_exif()/u/17021/logo.gif?f=community){kind=logo}
:strip_icc():strip_exif()/u/2277/companioncube.jpg?f=community)
24.132 » klinkt als sjelloOp zondag 23 september 2001 13:02 schreef BackSlash32 het volgende:
Ik had bij de tweede week CRII al besloten om alle verkeer van 24.132.x.x te blocken.
Resultaat: slechts 41 nimda-hits. Beetje Cru maar ja
tracert 24.132.1.1 » yup, sjello/upc
tyrips, tywreps, tiewreps, tiereps, tie raps, ripties, taiwraps, kabelbindbandjes » Tie Wraps
\o/
:strip_exif()/u/31824/crop5d7f50c68cffc_cropped.gif?f=community)
Ik heb 'm dus ook!
Wat er tegen doen, gewoon het scripje bakken?
Ik heb een Linux server, maar zo thuis ben ik nou ook weer niet in Linux, aldoende leert men toch....?
Wat er tegen doen, gewoon het scripje bakken?
Ik heb een Linux server, maar zo thuis ben ik nou ook weer niet in Linux, aldoende leert men toch....?
Laten we weer 's bierbrouwen of gewoon gekke dingen bouwen en knutselen. YEAH!
RIP Lada 2105 "Igor" 31-12-1992 - † 21-02-2014. De nieuwe Igor: Tesla model 3 SR+ 21-08-2020
huhOp woensdag 26 september 2001 13:45 schreef zwahiel het volgende:
Ik heb 'm dus ook!
Wat er tegen doen, gewoon het scripje bakken?
Ik heb een Linux server, maar zo thuis ben ik nou ook weer niet in Linux, aldoende leert men toch....?
Linux is niet infecteerbaar door deze worm, we worden alleen aangevallen door domme IIS servers die in het kader van "alles is MS" denken dat wij ook IIS draaien
En al doende schrijven wij een scriptje die de systeembeheerders van deze IIS machientjes er op de een of andere manier (reboot, e-mailtje) op atent maakt dat hij een worm heeft.
Maar linux of apache heeft nergens last van