[Apache] simpele hackpoging - Linux en overige clients

dinsdag 19 augustus 2003 01:56

Acties:

bakhar

Topicstarter

Ik keek toevallig even mijn apache logs door, en toen zag ik dit, ik moest wel even lachen

[Mon Aug 18 23:21:18 2003] [error] [client 80.61.23.20*] File does not exist: /var/www/MSADC/root.exe
[Mon Aug 18 23:21:18 2003] [error] [client 80.61.23.20*] File does not exist: /var/www/c/winnt/system32/cmd.exe
[Mon Aug 18 23:21:19 2003] [error] [client 80.61.23.20*] File does not exist: /var/www/d/winnt/system32/cmd.exe
[Mon Aug 18 23:21:19 2003] [error] [client 80.61.23.20*] File does not exist: /var/www/scripts/..%5c../winnt/system32/cmd.exe

Ik vroeg me dus af wat voor simpel zieltje is dit nou weer?

3 uur geleden ongeveer voor dit voorval werd het ook al vanaf het zelfde ip geprobeerd. Misschien moet ik wel var/www/c/winnt/system32/cmd.exe voor de gein er op zetten maar dan trojaned

Maar wat is dit voor simpel script kiddy progje?

dinsdag 19 augustus 2003 02:01

Acties:

job

achja, dat soort dingen staat mijn apache log ook vol mee:
[Sun Aug 17 10:57:32 2003] [error] [client 213.51.13.***] File does not exist: c:/webserver/stats/scripts/root.exe
[Sun Aug 17 10:57:32 2003] [error] [client 213.51.13.***] File does not exist: c:/webserver/stats/msadc/root.exe
[Sun Aug 17 10:57:32 2003] [error] [client 213.51.13.***] File does not exist: c:/webserver/stats/c/winnt/system32/cmd.exe
[Sun Aug 17 10:57:33 2003] [error] [client 213.51.13.***] File does not exist: c:/webserver/stats/d/winnt/system32/cmd.exe

het draait wel op een windows bak, maar geen nt.
en ook al draaide de boel op nt, dan gebeurde er nog niets.
alsof ik cmd.exe in de dir van m'n webserver zou hebben staan.

[ Voor 3% gewijzigd door job op 19-08-2003 02:02 ]

dinsdag 19 augustus 2003 02:04

Acties:

Allochtoon

bakhar

Topicstarter

Ja daarom, beetje nutteloos geprogd dan

dinsdag 19 augustus 2003 02:06

Acties:

Genghis Khan

Dan kijken ze gewoon even of jouw PC potentie heeft om een leuke stro van te maken, als je CMD daar daadwerkelijk staat dan staat je HD de volgende ochtend vol met warez en porno

.

dinsdag 19 augustus 2003 02:08

Acties:

Verwijderd

Ja, is mogelijk door een fout in IIS als ik mij niet vergis.
Maar ja, die zullen wel ganse ranges afscannen zeker, en dan staat dat indd nogal belachelijk in nen apache log

dinsdag 19 augustus 2003 02:08

Acties:

Allochtoon

bakhar

Topicstarter

Genghis Khan schreef op 19 August 2003 @ 02:06:
Dan kijken ze gewoon even of jouw PC potentie heeft om een leuke stro van te maken, als je CMD daar daadwerkelijk staat dan staat je HD de volgende ochtend vol met warez en porno .

Mja, maar je kan er vanuit gaan dat mensen met een dikke verbinding ook niet zo lam zijn om de CMD daar rond te laten slingeren?

Of bestaan die echt

?

dinsdag 19 augustus 2003 03:40

Acties:

Genghis Khan

Allochtoon schreef op 19 August 2003 @ 02:08:
[...]

Mja, maar je kan er vanuit gaan dat mensen met een dikke verbinding ook niet zo lam zijn om de CMD daar rond te laten slingeren?

Of bestaan die echt ?

Zo werkt het niet volgens mij, maar door een slecht lek in een oude IIS en via /cgi-bin/ kun je geloof ik een CMD daar zelf planten. Maar met een Apache-server heb je dus niets te vrezen.

dinsdag 19 augustus 2003 05:19

Acties:

smokalot

titel onder

Kwam gisteren terug van vakantie, is een nieuwe server, dus ik de logs lezen om te kijken of alles goed is gegaan, ook de apache-logs. Kwam dit soort meldingen elke dag wel tegen, van verschillende IPs. Zal wel zijn omdat die mensen weten dat ik hier met 100mbit zit...

Zijn hier een hoop mensen die een webserver draaien (studentenhuis), en niet iedereen heeft alles goed op orde, dus kan me voorstellen dat ze t proberen.

(zat er nog even aan te denken om die grapjassen te DoSsen (waren een paar lui met adsl, die kan ik in mn eentje aan

)

It sounds like it could be either bad hardware or software

dinsdag 19 augustus 2003 05:35

Acties:

Verwijderd

Deze scans zijn het gevolg van gehackte servers door het toenmalige I Love You virus (nimda) Deze probeert zich te verspreiden naar andere IIS servers die nog niet gepatched zijn en geloof me dat zijn er een hoop.
Veel mensen die thuis 2000 draaien en IIS onder windows. Of een ander os variant van microsoft. Doe maar eens een scan op hun bak en je zult zien dat het stuk voor stuk IIS bakken zijn.

dinsdag 19 augustus 2003 06:01

Acties:

Jimbolino

troep.com

dit is echt al 100x voorbijgekomen

voor de mensen die het nu nog steeds niet weten: er wordt veel gescanned.
nothing you can do about it...

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

dinsdag 19 augustus 2003 06:41

Acties:

Genghis Khan

Verwijderd schreef op 19 August 2003 @ 05:35:
Deze scans zijn het gevolg van gehackte servers door het toenmalige I Love You virus (nimda) Deze probeert zich te verspreiden naar andere IIS servers die nog niet gepatched zijn en geloof me dat zijn er een hoop.
Veel mensen die thuis 2000 draaien en IIS onder windows. Of een ander os variant van microsoft. Doe maar eens een scan op hun bak en je zult zien dat het stuk voor stuk IIS bakken zijn.

Was Nimda niet het virus wat default.ida de heel tijd opvraagd? Volgens mij staat dat CMD.exe-gedoe hier los van hoor, dit zijn hack-attempts van script-kiddies.

dinsdag 19 augustus 2003 08:00

Acties:

Verwijderd

dat CMD.exe gedoe of beter die ..%5c.. dingen, zijn van die oude unicode/codered exploit. Waarschijnlijk gewoon een IIS webserver van iemand die nogsteeds niet gepatched en gecleaned is die nog vrolijk aan het zoeken is naar andere unicode exploitable servers.

dinsdag 19 augustus 2003 08:06

Acties:

moto-moi

Ja, ik haat jou ook :w

Inderdaad, dit zijn van die nimda achtige dingen, als je je windows machine gepatched hebt, is er niks aan de hand etc.

Aangezien dit allang bekend is, en er ook genoeg over te vinden is inde search en op google, gaat dit topic op slot.

God, root, what is difference? | Talga Vassternich | IBM zuigt