Ein bissel Angst macht mit das schon (cmd.exe)

[zero]

Hatten das Thema ja schon oft. wirklich was bringen tut es doch nicht oder ich meine ist doch Linux und kein Windows ;-)Das ganze geht doch von einem Virus aus oder meint ihr da verucht es jemand auf normaler Ebene =?

Es nervt nämlich das ganze log steht voll damit von heute bestimmt 300 -400 Einträge...

client 217.32.116.235 scheint ja der liebe mensch zu sein ;-)

Code: Select all

/home/www/confixx/html/gesperrt/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../wi
nnt/system32/cmd.exe
[Thu Apr 10 10:37:35 2003] [error] [client 217.32.116.235] File does not exist:
/home/www/confixx/html/gesperrt/scripts/..Á../winnt/system32/cmd.exe
[Thu Apr 10 10:37:44 2003] [error] [client 217.32.116.235] File does not exist:
/home/www/confixx/html/gesperrt/scripts/..�¯../winnt/system32/cmd.exe
[Thu Apr 10 10:37:49 2003] [error] [client 217.32.116.235] File does not exist:
/home/www/confixx/html/gesperrt/scripts/..Á../winnt/system32/cmd.exe
[Thu Apr 10 10:37:59 2003] [error] [client 217.32.116.235] File does not exist:
/home/www/confixx/html/gesperrt/scripts/..%5c../winnt/system32/cmd.exe
[Thu Apr 10 10:38:02 2003] [error] [client 217.32.116.235] File does not exist:
/home/www/confixx/html/gesperrt/scripts/..%2f../winnt/system32/cmd.exe
[Thu Apr 10 10:47:07 2003] [error] [client 155.230.23.105] client sent HTTP/1.1
request without hostname (see RFC2616 section 14.23): /

[captaincrunch]

Gründe dafür gibt's vielerlei ... aber das wurde ja schon oft genug besprochen.

Sorgen brauchst du dir nicht zu machen, da du auf einer Linux-Kiste herzlich wenig mit der cmd.exe anstellen kannst.

Wenn du nett bist, suchst du dir raus, zu welchem ISP die IP gehört, und schreibst an abuse@ISP.IRGENDWO eine Mail, dass dort anscheinend ein CodeRed-Rechner steht, oder jemand zu blöd ist, einen Exploit richtig auszuführen ...

[dea]

Wird wohl ein Wurm/Trojaner oder ein Scanner sein der Dich da behaggert. Eine kurze Suche bei Securityfocus ergab nichts wirklich aufschlussreiches bis auf dass es sich wohl um etwas handelt, das Schwachstellen auf IISen ausnützt ...

[scythe42]

Wird wohl ein Wurm/Trojaner oder ein Scanner sein der Dich da behaggert. Eine kurze Suche bei Securityfocus ergab nichts wirklich aufschlussreiches bis auf dass es sich wohl um etwas handelt, das Schwachstellen auf IISen ausnützt ...

das ist ein Nimda...

[edei]

schau mal hier: http://codered.inetworker.at/

[dea]

ich war immer der Meinung, Code Red würde nach default.ida suchen, deshalb hatte ich den garnicht erst n Betracht gezogen ...

Nimda war mir entfallen - ich werde als. Sollte wohl das OS wechseln. Ob ich für z/OS alt genug bin?

[rootmaster]

Es nervt nämlich das ganze log steht voll damit von heute bestimmt 300 -400 Einträge...

in entsperechende vhost folgendes schreiben ;)

Code: Select all

SetEnvIf Request_URI ((root|cmd).exe|default.ida)$  nimda

CustomLog /pfad/zu/apache/logs/wurm_log common env=nimda
CustomLog /pfad/zu/apache/logs/access_log common env=!nimda
RedirectMatch permanent ((root|cmd).exe|default.ida)$ http://NIMDA_ALERT

ps: alternativ den nimda_log nach /dev/null schicken 8)

"back to the roots"

[dodolin]

ps: alternativ den nimda_log nach /dev/null schicken

Das kostet unnötige Performance, siehe Apachen-Doc.

Alternativ: Die Zeile mit dem Nimdalog einfach weglassen, dann wird nur das benötigte ("env =! nimda") gelogt.

Ok, ist jetzt kleinlich, wollte ich aber erwähnt haben...

[rootmaster]

Das kostet unnötige Performance, siehe Apachen-Doc.

danke, guter hinweis 8)

also nimdalog einkommentieren

"back to the roots"

[thiefmaster]

Code: Select all

SetEnvIf Request_URI ((root|cmd).exe|default.ida)$  nimda 

CustomLog /pfad/zu/apache/logs/wurm_log common env=nimda 
CustomLog /pfad/zu/apache/logs/access_log common env=!nimda 
RedirectMatch permanent ((root|cmd).exe|default.ida)$ http://NIMDA_ALERT

Wo setz ich das auf einem Server mit Confixx2 am besten hin und was muss ich da allews ändern?