Scriptkid Kindereien aber dazu eine Frage !

**admin** · 11.07.2002, 13:47

hast du keine Firewall laufen?

**JoelH** · 11.07.2002, 13:49

hmm,

??
Wieso damit keiner mehr an meinen Webserver kommt ?

**Wotan** · 11.07.2002, 14:14

Auch auf einem Webserver kann man eine Firewall einrichten. Damit sowas erst garnicht den Serever in die Knie zwingen kann.

**hand** · 11.07.2002, 14:19

Root.exe ist ein CodeRed Relikt. CodeRed kopiert die cmd.exe und legt diese als root.exe in ein Webserver-CGI-Verzeichnis um über den IIS darauf später auf die Maschine zugreifen zu können.

Eine Firewall hilft für Schwachstellen dieser Art gar nix.

**JoelH** · 11.07.2002, 14:19

hmm,

davor hab ich nunmal wirklich keine Angst, weil eben garkein Windows läuft !

**hand** · 11.07.2002, 14:25

Unter Linux ist man sicher sicherer.

**JoelH** · 11.07.2002, 14:28

hmm,

meistens, denn acuh dafür gibts rootkits aber naja, hier ist nur wenig zu holen irgendwie.
Fasst mal einem nackten Mann in die Tasche

Aber wieder was gelertn, also einer dieser COdeRed sachen

Da ist aber noch was =>

80.139.135.172 - - [10/Jul/2002:13:36:29 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
80.139.135.172 - - [10/Jul/2002:13:36:36 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
80.139.135.172 - - [10/Jul/2002:13:36:39 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
80.139.135.172 - - [10/Jul/2002:13:36:47 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331 "-" "-"

Wo will der hin, in welches Verzeichnis ?

**Wotan** · 11.07.2002, 14:30

Erstmal ins Root von Windowds NT und dann auf die cmd.exe um den Server auszuspionieren.

**JoelH** · 11.07.2002, 14:31

hmm,

aber was ist _mem_bin ?

**Wotan** · 11.07.2002, 14:34

Sind Ordner von Frontpage Webseiten.

**JoelH** · 11.07.2002, 14:37

hmm,

*lol*

richtig kreativ so

**pekka** · 11.07.2002, 14:39

Das dürfte aber eher ein Wurm sein als ein Kiddie?

**JoelH** · 11.07.2002, 14:41

hmm,

k.a.
so tief hab ich mit der Materie noch nicht befasst, aber wo sollte der meien IP her haben ?

aber noch was interssantes gefunden =>

65.189.139.113 - - [11/Jul/2002:12:45:44 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u 9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 318 "-" "-"

was will der denn ?

**pekka** · 11.07.2002, 14:59

Der will nen Buffer Overflow erzeugen, war ein Problem mit IIS vor dem panischen Patch, das MS irgendwann veröffentlicht hat.

IP: Die Würmer gehen m.W. IPs blockweise durch. Sogar in alten ISDN-Zeiten (also normalerweise nur ein paar Minuten mit der gleichen IP online!) hat mein lokaler Apache manchmal Code-Red-Versuche gemeldet.

Scriptkid Kindereien aber dazu eine Frage !