W2k server schijnbaar geinfecteerd door codered?

Ik draai op de huiskamerserver Apache2 (met uiteraard php/mysql) op een W2k machine met SP4.
Nu heb ik een paar mailtjes gehad met klachten dat deze machine hun aanviel met Code Red of een variant daarop. De aanval zag er volgens de mails zo uit:

[22/Aug/2003:01:18:09 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 365 "-" "-"

Dit verbaast mij nogal, ten eerste omdat mijn systeem theoretisch niet meer vulnerable is voor codered (SP2 dichtte het gat reeds, en ik draai geen IIS maar Apache?!), ten tweede omdat de antivirus scanner (Norton) en de verschillende codered (II) fixtools (van MS en Symantec) ook aangeven dat ik clean ben.

Is er een of andere vreemde codered variant die ik niet ken die dezelfde soort aanvallen oplevert maar wel kan draaien onder W2k sp4 met apache2? Of is er een andere verklaring voor?

Verwijderd schreef op 28 August 2003 @ 10:49:
heb je toevallig niet lopen kutten met een of ander hacktooltje?

Dan zou ik dat vanaf de UT ofzo doen, niet vanaf m'n eigen huisserver die op mijn naam geregistreerd staat bij het SNT .

of misschien wel een trojan/virus die dit gebruikt (ken er ook geen anders dan codered) maar gebruik ff een netwerk monitor, kan je zelf zien of je dat uitstuurt...

Zal ik zo idd maar eens installeren, kijken of 't wat oplevert.