seltsame verzeichnisabfragen

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    seltsame verzeichnisabfragen

    hmm, bei der auswertung meiner logdaten stellte ich schon oft fest, dass ich komische verzeichnisabfragen auf meinem webspace habe. diese werden immer ( logischer weise ) unter nicht gefundenene seiten aufgeführt. z.b

    http:///scripts/..%2f../winnt/system32/cmd.exe
    oder auch:
    http:///scripts/root.exe

    wo kommen die her???? vor allem warum WinNT??? das ist ne linux kiste .... sind das versuchte hacks? drehen die robots durch? wer kennt das?

    thx
    h.a.n.d.
    Schmalle

    http://impressed.by
    http://blog.schmalenberger.it



    Wichtige Anmerkung: Ich habe keine Probleme mit Alkohol ...
    ... nur ohne :-)
    Stichworte: -
  • #2
    Ich denke, das sind Hacks. da versucht jemand auf die Konsole zu kommen (cmd.exe).
    Scheinen aber Pfuscher zu sein, da gewöhnlicherweise der IIS unter WinNT nicht als root läuft und man somit eh keine Rechte auf der Konsole hat. Unter Linux isses sowieso zwecklos.

    Kommentar

    • #3
      hmm,

      seh ich genauso, da versuchen Scriptkids anhand von 'Tuts' zugriff zu bekommen. Einzig lernen kannst du daraus, benutze Linux und 95% Scriptkids sind aussen vor.

      Kommentar

      • #4
        merci 4 info. aber wie gesagt der server rennt unter linux ...
        h.a.n.d.
        Schmalle

        http://impressed.by
        http://blog.schmalenberger.it



        Wichtige Anmerkung: Ich habe keine Probleme mit Alkohol ...
        ... nur ohne :-)

        Kommentar

        • #5
          http:///scripts/..%2f../winnt/system32/cmd.exe
          Hihi ... kommt mir irgendwie bekannt vor.
          Abgesehen davon, dass die Server-Logs zugemüllt werden, ist das aber harmlos.
          Fragt sich nur, ob man IPs die einen entsprechenden Aufruf ausführen automatisch für ne Weile gesperrt werden können - eben damit die Logs nicht verstopft werden?!
          mein Sport: mein Frühstück: meine Arbeit:

          Sämtliche Code-Schnipsel sind im Allgemeinen nicht getestet und werden ohne Gewähr auf Fehlerfreiheit und Korrektheit gepostet.

          Kommentar

          • #6
            ich denke schon, dass man die sperren kann. ist aber wohl zwecklos. denn 1. sind die immer über killer-proxies unterwegs, die alle 5 min ne neue IP haben, und ausserdem liegen die logs nicht auf meinem webspace
            h.a.n.d.
            Schmalle

            http://impressed.by
            http://blog.schmalenberger.it



            Wichtige Anmerkung: Ich habe keine Probleme mit Alkohol ...
            ... nur ohne :-)

            Kommentar

            • #7
              jo unter linux hat das kein sinn aber wenn du nen winnt mit IIS am laufen hättest würde es den was bringen. Denn somit kommen die auf dein cmd.exe mit einem befehl wird die winnt\system32\cmd.exe irgendwo anders hinein kopiert z.B bei c:\cmd.exe, so nun kann man cmd sehr leich benutzen..die werden wohl versuchen dann über tftp.exe paar datein auf dein Pc zu schleusen. Tja... rest ist wohl zu denken.


              Aber wie gesagt unter Linux hat es kein Sinn.

              Bye

              Kommentar

              • #8
                das sind keine Scriptkiddies,
                das ist dieserr Red... Virus, der die IIS Server angreift.
                Der probiert einfach deinen Rechner durch, ob da ein
                angreifbarer IIS läuft
                TBT

                Die zwei wichtigsten Regeln für eine berufliche Karriere:
                1. Verrate niemals alles was du weißt!

                PHP 2 AllPatrizier II Browsergame

                Kommentar

                • #9
                  Original geschrieben von schmalle
                  [...] aber wie gesagt der server rennt unter linux ...
                  dann hast du ja nichts zu befürchten....
                  INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                  Kommentar

                  • #10
                    Diese Einträge hab ich sogar auf meinem localhost hier.

                    Aber gefährlich ist das nur, wenn man einen IIS hat, der nicht gepatcht ist.
                    hopka.net!

                    Kommentar

                    • #11
                      Original geschrieben von TBT
                      das sind keine Scriptkiddies,
                      das ist dieserr Red... Virus, der die IIS Server angreift.
                      ja, genau.

                      nimda/code red ist dafür verantwortlich.

                      da kann man mal sehen, wie wenig manche admins zu patchen scheinen, wenn der immer noch durch's netz geistert!
                      I don't believe in rebirth. Actually, I never did in my whole lives.

                      Kommentar

                      Vorherige template Weiter
                      Lädt...
                      X