Angriff auf meinen Webserver ???

maceis

maceis

Aktives Mitglied
Thread Starter
Dabei seit
24.09.2003
Beiträge
16.880
Reaktionspunkte
626
hallo zusammen,

in letzter Zeit bemerke ich häufig Anfragen auf meinen Webserver, von denen ich befürchte, dass es sich um Angriffe handelt.
Die Anfragen sind im Gegensatz zu einer einfachen GET Anfrage (eine halbe Zeile) zwei bis drei Seiten lang und sehen so aus.

SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 ..... \x90\x90\x90\x90\x90\x90\x90\x90\

Die Punkte zeigen die Auslassung von rd. 150 Zeilen.

Kann jemand etwas damit anfangen und mir sagen was das ist ?
Hab natürlich sofort versucht mir nmap zurückzuscannen.
Konnte aber nur rasufinden, dss es sich um eine Dose in Östereich handelt, die per Dial-In im Netz (chello.at oder sowas) ist.
 
So ein paar ähnliche Einträge habe ich auch in meinem log file. In letzter Zeit aber nicht mehr.
 
...sieht für mich stark danach aus, als ob da jemand versucht, auf deinem Webserver einen Buffer-Overflow zu provozieren und auf diese Weise Code einzuschleusen.
 
hallo zusammen,

ich hab inzwischen rausgefunden, dass es sich im einen Exploit gegen M$ IIS handelt, mit dem man sogar andere Dienste angreifen kann.
Tja - da hat er bei mir aber Pech gehabt.

War jetzt an drei Tagen hintereinander, immer aus Östereich (ISP: chell.at oder so).

Ich überleg mir, ob ich den ISP informieren soll.
Was meint Ihr
 
Was solls. Sollen die Kiddies halt spielen :D Da hätte ich ja fast jeden Tag was an den Provider zu melden.
 
Das ist echt nix besonderes, ich wünschte die Kiddies würde wenigstens vorher testen was es für ein Server ist bevor die dauernd die falschen exploits ausprobieren... Der Schrott verstopft bei meinen Servern auch schon seit Monaten die Logfiles.
 
na gut , dann lass ich Ihnen halt den Spass :)

mich wunderts nur, wieviele Zugriffe ich habe, weils eigentlich nur ein Spielzeugserver mit dial-up Verbindung ist.
Kaum bin ich mal 5 Minuten online, schaut sich jemand meine extrem langweilige Index Seite an.
Meistens Japaner, Spanier, Kroaten oder auch schon mal jemand aus USA.

("Private Area - Keep Out" auf Orangerotem Hintergund :D).

Wenn ich die Nase voll habe schalt ich halt die portweiterleitung aus.
Das läuft sowieso nur um das Logging der OS X - Firewall und meines Routers mal ein bisschen zu auszuprobieren.
 
hallo zusammen,

jetzt melde ich mich noch einmal.

Mich wundert nämlich, dass ich über Monate hinweg keinen einzigen solche "Angriffe" hatte.
Seit kurzem habe ich das täglich mehrmals.
Der Exploit selber ist - soweit ich weiss - schon seit mindestens einem Jahr bekannt.

Kann sich einer erklären, warum das auf einmal so häufig auftritt ?
Zumal ich meine Adresse eigentlich nirgendwo bekanntgemacht habe.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten