Toon posts:

Moet ik mij zorgen maken?

Pagina: 1
Acties:
  • 40 views sinds 30-01-2008

woensdag 26 december 2001 12:10

Acties:

Verwijderd

Topicstarter
Ik heb in mijn logs van mijn webserver meerdere malen dergelijke regels staan:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:35 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:35 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:35 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:36 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:36 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:36 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:37 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:37 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:37 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:38 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:38 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:38 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:38 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:39 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:39 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 "" ""
xxx.xxx.xxx.xxx - - [23/Dec/2001:06:54:40 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 0 ""

Moet ik mij nou zorgen maken over de veiligheid van mijn server/netwerk?

woensdag 26 december 2001 12:12

Acties:
  • kieskes
  • Registratie: Juni 1999
  • Laatst online: 18:57

kieskes

Apache?
zoja, nee :)

zijn nimda checks, krijg ik ook nog _regelmatig_

woensdag 26 december 2001 12:16

Acties:

Verwijderd

Topicstarter
Nee, ik draai Xitami, maar de path's kloppen niet.

woensdag 26 december 2001 12:17

Acties:

Verwijderd

Ik denk niet dat je je ernstig zorgen hoeftg te maken ik zie overal 404 achter staan...

Ik gebruik Sambar en zie die dingen ook wel is voorbij komen...

woensdag 26 december 2001 12:18

Acties:
  • Kippenijzer
  • Registratie: Juni 2001
  • Laatst online: 28-04 20:21

Kippenijzer

McFallafel, nu met paardevlees

Nee, dit zijn hele normale aanvallen... Hetzij door viri gegenereerd, hetzij door standaard IIS hack/crack exploit progjes... Ik heb ze ook, de hele reeks herhalend, elke 5 minuten ongeveer....

Erg vervelend... En iedereen maar klagen dat het internet zo traag is....

woensdag 26 december 2001 12:19

Acties:

Verwijderd

Topicstarter
Oké, tnx y'all. Gelukkig gebruik ik geen IIS :)

woensdag 26 december 2001 12:38

Acties:

Verwijderd

ik heb een tijd geleden een tutorial gelezen waarin stond beschreven hoe je ervoor kon zorgen dat die request automatisch geblockt worden...

hebbes: http://www.webmasterbase.com/article/566
"Redirect Virus Attacks"

en het zijn exact dezelfde aanvallen...
I did a little research and testing, and added the following lines to my .htaccess file.


redirect /scripts http://www.stoptheviruscold.invalid

redirect /MSADC http://www.stoptheviruscold.invalid

redirect /c http://www.stoptheviruscold.invalid

redirect /d http://www.stoptheviruscold.invalid

redirect /_mem_bin http://stoptheviruscold.invalid

redirect /msadc http://stoptheviruscold.invalid

RedirectMatch (.*)\cmd.exe$ http://stoptheviruscold.invalid$1

These lines did exactly what I wanted them to do - they stopped the virus from creating 404 errors in my log file, and they prevented my 404 error page from being triggered, thus creating lots of useless bandwidth utilization. There is still some bandwidth used, obviously, but it is far less than it would have been. The load on the server is also considerably reduced, which should make my Web hosting company happy.

woensdag 26 december 2001 14:35

Acties:
  • jep
  • Registratie: November 2000
  • Laatst online: 02-05 15:27

jep

Je zoekactie naar 'cmd.exe' leverde 142 resultaten op.

:z

Allemaal over hetzelfde. Voortaan even de zoekzoek proberen he ;)

Niets aan de hand voor jou dus. ;)

woensdag 26 december 2001 15:47

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 20:46

Mark

Onder welke steen kom jij vandaan gekropen ?? En zoiets is geen ANS topic...

woensdag 26 december 2001 15:50

Acties:
  • seq_uence
  • Registratie: Mei 2000
  • Laatst online: 01-08-2024

seq_uence

Op woensdag 26 december 2001 15:47 schreef RedRoon het volgende:
Onder welke steen kom jij vandaan gekropen ?? En zoiets is geen ANS topic...
Vind je dit een normale reactie ? :(

DOE NORMAAL ZEG !!! :(

Donec eris felix, multos numerabis amicos

woensdag 26 december 2001 16:06

Acties:
  • Gilles
  • Registratie: Februari 2000
  • Laatst online: 28-07-2025

Gilles

Op woensdag 26 december 2001 15:47 schreef RedRoon het volgende:
Onder welke steen kom jij vandaan gekropen ?? En zoiets is geen ANS topic...
Haha lol :P

woensdag 26 december 2001 16:21

Acties:
  • luc
  • Registratie: Maart 2000
  • Niet online

luc

Op woensdag 26 december 2001 15:50 schreef seq_uence het volgende:



[..]



Vind je dit een normale reactie ? :(



DOE NORMAAL ZEG !!! :(
Mwah ik zie wel een kern van waarheid, hoe hard die af en toe ook is :P

woensdag 26 december 2001 19:52

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 22:31

Koffie

Koffiebierbrouwer

Braaimeneer

inderdaad ... :Z :Z
Wat dat betreft mag je toch echt afvragen onder welke steen je vandaan komt. Als je een webserver beheert (maakt niet uit welke) en je weet niet wat genoemde betekent indien het in je log staat ... dan zou ik toch echt achter m'n oren gaan krabben.

close dus

Tijd voor een nieuwe sig..

Pagina: 1

Dit topic is gesloten.