Page 1 of 1
Ein bissel Angst macht mit das schon (cmd.exe)
Posted: 2003-04-10 11:37
by zero
Hatten das Thema ja schon oft. wirklich was bringen tut es doch nicht oder ich meine ist doch Linux und kein Windows ;-)Das ganze geht doch von einem Virus aus oder meint ihr da verucht es jemand auf normaler Ebene =?
Es nervt nämlich das ganze log steht voll damit von heute bestimmt 300 -400 Einträge...
client 217.32.116.235 scheint ja der liebe mensch zu sein ;-)
Code: Select all
/home/www/confixx/html/gesperrt/msadc/..%5c../..%5c../..%5c/..Ã../..Ã../..Ã../wi
nnt/system32/cmd.exe
[Thu Apr 10 10:37:35 2003] [error] [client 217.32.116.235] File does not exist:
/home/www/confixx/html/gesperrt/scripts/..Ã../winnt/system32/cmd.exe
[Thu Apr 10 10:37:44 2003] [error] [client 217.32.116.235] File does not exist:
/home/www/confixx/html/gesperrt/scripts/..�¯../winnt/system32/cmd.exe
[Thu Apr 10 10:37:49 2003] [error] [client 217.32.116.235] File does not exist:
/home/www/confixx/html/gesperrt/scripts/..Ã../winnt/system32/cmd.exe
[Thu Apr 10 10:37:59 2003] [error] [client 217.32.116.235] File does not exist:
/home/www/confixx/html/gesperrt/scripts/..%5c../winnt/system32/cmd.exe
[Thu Apr 10 10:38:02 2003] [error] [client 217.32.116.235] File does not exist:
/home/www/confixx/html/gesperrt/scripts/..%2f../winnt/system32/cmd.exe
[Thu Apr 10 10:47:07 2003] [error] [client 155.230.23.105] client sent HTTP/1.1
request without hostname (see RFC2616 section 14.23): /
Re: Ein bissel Angst macht mit das schon (cmd.exe)
Posted: 2003-04-10 12:01
by captaincrunch
Gründe dafür gibt's vielerlei ... aber das wurde ja schon oft genug besprochen.
Sorgen brauchst du dir nicht zu machen, da du auf einer Linux-Kiste herzlich wenig mit der cmd.exe anstellen kannst.
Wenn du nett bist, suchst du dir raus, zu welchem ISP die IP gehört, und schreibst an
abuse@ISP.IRGENDWO eine Mail, dass dort anscheinend ein CodeRed-Rechner steht, oder jemand zu blöd ist, einen Exploit richtig auszuführen ...
Re: Ein bissel Angst macht mit das schon (cmd.exe)
Posted: 2003-04-10 12:02
by dea
Wird wohl ein Wurm/Trojaner oder ein Scanner sein der Dich da behaggert. Eine kurze Suche bei Securityfocus ergab nichts wirklich aufschlussreiches bis auf dass es sich wohl um etwas handelt, das Schwachstellen auf IISen ausnützt ...
Re: Ein bissel Angst macht mit das schon (cmd.exe)
Posted: 2003-04-10 14:50
by scythe42
dea wrote:Wird wohl ein Wurm/Trojaner oder ein Scanner sein der Dich da behaggert. Eine kurze Suche bei Securityfocus ergab nichts wirklich aufschlussreiches bis auf dass es sich wohl um etwas handelt, das Schwachstellen auf IISen ausnützt ...
das ist ein Nimda...
Re: Ein bissel Angst macht mit das schon (cmd.exe)
Posted: 2003-04-11 10:46
by edei
Re: Ein bissel Angst macht mit das schon (cmd.exe)
Posted: 2003-04-11 17:00
by dea
ich war immer der Meinung, Code Red würde nach default.ida suchen, deshalb hatte ich den garnicht erst n Betracht gezogen ...
Nimda war mir entfallen - ich werde als. Sollte wohl das OS wechseln. Ob ich für z/OS alt genug bin?
Re: Ein bissel Angst macht mit das schon (cmd.exe)
Posted: 2003-04-12 14:41
by rootmaster
Zero wrote:
Es nervt nämlich das ganze log steht voll damit von heute bestimmt 300 -400 Einträge...
in entsperechende vhost folgendes schreiben ;)
Code: Select all
SetEnvIf Request_URI ((root|cmd).exe|default.ida)$ nimda
CustomLog /pfad/zu/apache/logs/wurm_log common env=nimda
CustomLog /pfad/zu/apache/logs/access_log common env=!nimda
RedirectMatch permanent ((root|cmd).exe|default.ida)$ http://NIMDA_ALERT
ps: alternativ den nimda_log nach /dev/null schicken 8)
"back to the roots"
Re: Ein bissel Angst macht mit das schon (cmd.exe)
Posted: 2003-04-12 15:03
by dodolin
ps: alternativ den nimda_log nach /dev/null schicken
Das kostet unnötige Performance, siehe Apachen-Doc.
Alternativ: Die Zeile mit dem Nimdalog einfach weglassen, dann wird nur das benötigte ("env =! nimda") gelogt.
Ok, ist jetzt kleinlich, wollte ich aber erwähnt haben...
Re: Ein bissel Angst macht mit das schon (cmd.exe)
Posted: 2003-04-12 15:25
by rootmaster
dodolin wrote:
Das kostet unnötige Performance, siehe Apachen-Doc.
danke, guter hinweis 8)
also nimdalog einkommentieren
"back to the roots"
Re: Ein bissel Angst macht mit das schon (cmd.exe)
Posted: 2003-04-18 08:18
by thiefmaster
Code: Select all
SetEnvIf Request_URI ((root|cmd).exe|default.ida)$ nimda
CustomLog /pfad/zu/apache/logs/wurm_log common env=nimda
CustomLog /pfad/zu/apache/logs/access_log common env=!nimda
RedirectMatch permanent ((root|cmd).exe|default.ida)$ http://NIMDA_ALERT
Wo setz ich das auf einem Server mit Confixx2 am besten hin und was muss ich da allews ändern?