Hallo zusammen
ich habe mir meine Logdateien ein kleinwenig angeschaut, dabei bin ich auf folgendes gestossen und wollte jetzt mal wissen, ob das nur bei mir ist (als Einzelfall) oder ob das bei anderen auch ist:
Ich habe einen Linux-Server, der als Proxy / Webserver fungiert. In den Logdateien des Apache (error_log) habe ich folgende Einträge entdeckt (Auszug):
[Tue Dec 25 19:41:35 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/scripts/root.exe
[Tue Dec 25 19:41:36 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/MSADC/root.exe
[Tue Dec 25 19:41:37 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/c/winnt/system32/cmd.exe
[Tue Dec 25 19:41:38 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/d/winnt/system32/cmd.exe
[Tue Dec 25 19:41:40 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/scripts/..%5c../winnt/system32/cmd.exe
[Tue Dec 25 19:41:41 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Tue Dec 25 19:41:42 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Tue Dec 25 19:41:43 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe
[Tue Dec 25 19:41:45 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/scripts/..Á../winnt/system32/cmd.exe
[Tue Dec 25 19:41:50 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/scripts/..À¯../winnt/system32/cmd.exe
[Tue Dec 25 19:41:51 2001] [error] [client 217.84.253.154] File does not exist: /Daten/Homepage/scripts/..Áœ../winnt/system32/cmd.exe
..... (noch viel mehr, alle paar Tage)
Mittels einer "whois" abfrage habe ich dann festgestellt, dass dies eine Adresse von T-Online ist.
Bin ich hier ein Einzelfall, oder ist das bei dem einen oder anderen ebenfalls der Fall, der mittels DSL von T-Online ins Internet geht ?
Danke
Michael
Nur bei mir ?? T-Online versucht Programme auszuführen
-
Descartes
Re: Nur bei mir ?? T-Online versucht Programme auszuführen
Die Logfile-Einträge scheinen mir so was wie der NIMDA zu sein der versucht bei dir einen Microsoft IIS zu infizieren. Zumindest nimmt da jemand schwer an dass du eine NT Kiste benutzt.
Erst seit ich meine Firewall auch schön ausführlich mitloggen lasse sehe ich hier diverse IP-Adressen (T-Online, USA, Kanada, Polen, ...) die auf den verschiedensten Ports (z.B. 21, 22, 80, 111, ...) einen Zugriff versuchen.
Zur Übersicht, welche Viren gerade aktiv im Umlauf sind empfehle ich dir auch einen Blick auf das
Trend World Virus Tracking Center
<a href="http://wtc.trendmicro.com/wtc/" target="_blank"><!--auto-->http://wtc.trendmicro.com/wtc/</a><!--auto-->
Erst seit ich meine Firewall auch schön ausführlich mitloggen lasse sehe ich hier diverse IP-Adressen (T-Online, USA, Kanada, Polen, ...) die auf den verschiedensten Ports (z.B. 21, 22, 80, 111, ...) einen Zugriff versuchen.
Zur Übersicht, welche Viren gerade aktiv im Umlauf sind empfehle ich dir auch einen Blick auf das
Trend World Virus Tracking Center
<a href="http://wtc.trendmicro.com/wtc/" target="_blank"><!--auto-->http://wtc.trendmicro.com/wtc/</a><!--auto-->
Re: Nur bei mir ?? T-Online versucht Programme auszuführen
handelt sich um Nimda und/oder Code Red. Kein Anlass zur Beunruhigung. Leider zuviele Idioten mit ungeptachten SERVER Betriebssystem Windows unterwegs. Damit weisst du ja jetzt, wie du einen IIS übernehmen kannst.
Mir tun die Leute leid, die Volumenbasierte Tarife haben. und von diesen Personen geschädigt werden.
Ein (zu) ausführliches loggen bringt die Gefahr eines DOS mit sich.
Mir tun die Leute leid, die Volumenbasierte Tarife haben. und von diesen Personen geschädigt werden.
Ein (zu) ausführliches loggen bringt die Gefahr eines DOS mit sich.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
Re: Nur bei mir ?? T-Online versucht Programme auszuführen
Das ganze ist glaube ich CodeRed. Ist in meinen Log-Files auch drinnen. Das ganze ist für Linux natürlich ungefährlich.
Cu
RS
http://www.gamesforlinux.de
Cu
RS
http://www.gamesforlinux.de
-
superpinger
Re: Nur bei mir ?? T-Online versucht Programme auszuführen
hab ich auch in meinen logs
tja wer auch einen webserver mit microschrott betreibt hat eh was an der waffel oder ?
tja wer auch einen webserver mit microschrott betreibt hat eh was an der waffel oder ?
Re: Nur bei mir ?? T-Online versucht Programme auszuführen
@superpinger
warum?
Ich find MS toll. am besten man setzt komplett auf MS. So ein rundum sorglos Paket Windows 2000/XP, MS SQL Server und einen IIS am besten dazu noch einen Exchange server. Zur Not kann man das auch alles auf einen Rechner packen.
as kann doch schliesslich jedes Kind installieren und administrieren. Ist ja alles so einfach.
warum?
Ich find MS toll. am besten man setzt komplett auf MS. So ein rundum sorglos Paket Windows 2000/XP, MS SQL Server und einen IIS am besten dazu noch einen Exchange server. Zur Not kann man das auch alles auf einen Rechner packen.
as kann doch schliesslich jedes Kind installieren und administrieren. Ist ja alles so einfach.
Last edited by trinity on 28. Dec 2001 21:55, edited 1 time in total.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
-
Descartes
Re: Nur bei mir ?? T-Online versucht Programme auszuführen
Für ein LAN ist ein Microsoft Win2K Server (oder .NET Server) mit Exchange und IIS und ... sicher nicht schlecht -- so lange das LAN mit einer Firewall vom I-Net abgeschottet ist.
Wenn es aber darum geht seinen Webauftritt nach aussen zu präsentieren dann würde ich eher ein UNIX (Linux oder Solaris) nehmen in dessen DMZ ein Apache läuft.
Wenn es aber darum geht seinen Webauftritt nach aussen zu präsentieren dann würde ich eher ein UNIX (Linux oder Solaris) nehmen in dessen DMZ ein Apache läuft.
-
Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Re: Nur bei mir ?? T-Online versucht Programme auszuführen
@Lutz:
<img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> ..... habe Deine Ironie erst beim zweiten lesen bemerkt ... <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Gruß
<img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> ..... habe Deine Ironie erst beim zweiten lesen bemerkt ... <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
-
nimo
Re: Nur bei mir ?? T-Online versucht Programme auszuführen
hi,
wie kann man einen fremden rechner scannen unter linux.
sorry komme von ms.
ally
wie kann man einen fremden rechner scannen unter linux.
sorry komme von ms.
ally
-
LAN
Re: Nur bei mir ?? T-Online versucht Programme auszuführen
Hallo nimo
sag mal ist es dein ernst diese Frage, typisch MS'ler, frag doch Microschrott nach den sicherheitlücken die jetzt mal wieder bekannt werden dann kannst du dein Rechner scannen mit aller ruhe sogar ohne das du es sogar merkst
sag mal ist es dein ernst diese Frage, typisch MS'ler, frag doch Microschrott nach den sicherheitlücken die jetzt mal wieder bekannt werden dann kannst du dein Rechner scannen mit aller ruhe sogar ohne das du es sogar merkst