CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede bpvk Nybegynder
07. november 2001 - 13:01 Der er 11 kommentarer

Apache

Hej jeg har lige installeret Apache på et win2000 system, og det er et HELT NYT område jeg her bevæger mig ind på, men jeg har da fået det til at virke, næsten, har lidt problemer med SSI.
Nå men mit spørgsmål drejer sig om Apache log filer
i filen access.log står der fx. følgende

:80.62.172.21 - - [07/Nov/2001:00:02:01 +0100] \"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 305

80.62.172.21 - - [07/Nov/2001:00:02:03 +0100] \"GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 305

80.62.172.21 - - [07/Nov/2001:00:02:05 +0100] \"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 305

80.62.172.21 - - [07/Nov/2001:00:02:07 +0100] \"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 305

80.62.172.21 - - [07/Nov/2001:00:02:09 +0100] \"GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 400 289

80.62.172.21 - - [07/Nov/2001:00:02:10 +0100] \"GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 400 289

80.62.172.21 - - [07/Nov/2001:00:02:12 +0100] \"GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 306

80.62.172.21 - - [07/Nov/2001:00:02:14 +0100] \"GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 306

er der en der kan forklare mig hvad det betyder????

VH Bjarne
Avatar billede disky Nybegynder
07. november 2001 - 13:02 #1
enten er det en virus der forsøger at lave ulykker.

Eller en der forsøger at udnytte en virus som er kommet igennem.

Men det er kun et problem med en IIS server. Så du kan godt sove roligt om natten
Avatar billede vladimirr Nybegynder
07. november 2001 - 13:07 #2
Det er som disky siger en virus, i dette tilfælde er det med meget stor sandsynlighed Nimda der er på spil.

//Anders
Avatar billede vladimirr Nybegynder
07. november 2001 - 13:07 #3
Det den prøver på er at få adgang til din commandopromt for der at lave ulykker :(
Avatar billede jacobchr Nybegynder
07. november 2001 - 13:13 #4
Det er som disky skriver en virus der prøver på at komme ind på dit system.
Det er et eller andet \"fjols\" som ikke tjekker for virus på sin IIS.

Jeg sidder med stort set samme log-filer. Med omkring 100 forsøg her i weekenden (cirka 1000 hits).

Men du kan skrive dette i din http.conf fil;
RedirectMatch ^.*\\.(exe|dll).*
http://support.microsoft.com # (eller noget andet)

/jacob
Avatar billede jacobchr Nybegynder
07. november 2001 - 13:16 #5
Forklaringen på tilføjelsen er, at når en der bliver  tjekket om der findes en exe eller dll fil så sender du virusforspørselen et andet sted hen. Og du får fred.
Avatar billede bpvk Nybegynder
07. november 2001 - 13:32 #6
Forstår jeg det ret at det IKKE er på min computer der er virus, har tjekket for virus flere gange de sidste par dage, og har opdateret min virus, og ikke fundet nogen virus.
Skal jeg tilføje: RedirectMatch ^.*\\.(exe|dll).*
http://support.microsoft.com # eller kun: RedirectMatch ^.*\\.(exe|dll).* og hvor skal det stå i http.conf, (det kan godt være jeg spørger lidt dumt)
Hvad skal jeg gøre for at sikkere mig så det kun er mulig at læse min web-side, hvad skal jeg gøre så man fx skal bruge password for at oploade filer til web-siden.
Avatar billede kimrosgaard Nybegynder
07. november 2001 - 14:05 #7
det er en nyere variant af Nimda virusen der forsøger at lave et exploit mod din webserver. da du kører Apache har du intet at frygte da det kun er IIS der er sårbar over for den virus. hvis du samtidig kigger i din error.log vil du også se at de filer der er forsøgt adgang til, er fejlet da de ikke eksisterer.
læg iøvrigt mærke til tallet 404 i \"80.62.172.21 - - [07/Nov/2001:00:02:14 +0100] \"GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 306\". 404 betyder som bekendt, at \"siden kan ikke vises\" :)
du har altså intet at frygte.
hvis du så min logfil, ville du korse dig når du så alle de angrem min server dagligt er udsat for :)
Avatar billede jacobchr Nybegynder
07. november 2001 - 14:08 #8
Det er rigtigt nok spom du skriver, at det ikke er din PC der har virus men en anden.

Hvis du skriver dette ind i din httpd.conf

RedirectMatch ^.*\\.(exe|dll).* http://127.0.0.1http://127.0.0.1/?You_Have_A_Virus_!!!

Lige under ServerName, så virker det.

/jacob

Avatar billede bpvk Nybegynder
07. november 2001 - 17:59 #9
Jeg prøvede at linke til det IP nummer der stod i log filen og uha straks poppede både firewall og antivirus programmet op med en advarsel om Nimda virusen, prøvede at finde ud af hvem der ejer pågældende IP nummer, men får bare at vide at det er TDC bredbånd bla.bla....
Hvor ser man iøvrigt hvad disse fejlkodenr. betyder.
Avatar billede bpvk Nybegynder
07. november 2001 - 19:07 #10
Jeg har tilføjet

RedirectMatch ^.*\\.(exe|dll).* http://127.0.0.1http://127.0.0.1/?You_Have_A_Virus_!!!

lige under ServerName i httpd.conf men problemet er det samme hvad betyder fejlkode 302???
Avatar billede jacobchr Nybegynder
07. november 2001 - 23:59 #11
AHHH fuck sorry taste fejl.
RedirectMatch ^.*\\.(exe|dll).* http://127.0.0.1/?You_Have_A_Virus_!!!

Koden 302 betyder at siden er fundet.

/jacob

Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
It-udvikling kurser
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.
Se alle It-udvikling kurser

Flere spørgsmål fra Webservere kategorien

Titel Indlæg Oprettet Seneste aktivitet
Periodisk lang responstid Af AlbertK i Webservere 3 23/08/202415:54 24/08/202421:48
Yousee Af nu_igen i Webservere 1 08/04/202408:21 09/04/202409:44
.htaccess til PHP API Af Jan i Webservere 9 29/02/202408:05 29/02/202409:30
Web.config Af ingeman i Webservere 0 07/01/202409:53 -
IIS virker ikke på asp sider... Af bsn i Webservere 8 15/10/202313:14 18/10/202308:51
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 15:09 Kode til det enkelte ark. Af lkt i Excel
I dag 14:50 Give resultat ud fra flere "HVIS'er" Af Lassebo1981 i Excel
I dag 10:24 HJÆLP til formel i excel Af CBH i Excel
I dag 07:40 Tastatur med lommeregner Af HHA i Andet hardware
I går 23:02 Hjælp til formel. Afrund??? Af MrMYansen i Excel
White papers
Flere white papers »


Premium
Teaser billede
Microsoft-bommert har skabt travlhed hos administratorer: Mails registreret som malware
Læs mere »
Disse leverandører skal slås om offentlig dansk it-aftale til 2,3 milliarder kroner: Fem skal sorteres fra i den kommende tid
Han gennemlevede et mareridt af en it-fusion: Men de dyre lærepenge var godt givet ud
Sådan bliver du klar til Microsofts nye sikkerheds-tiltag - alle virksomheder bliver tvunget med
Se alle »
Computerworld
Teaser billede
Verdens største bilproducent ramt af hackerangreb: Sender skylden videre til tredjepart
Læs mere »
Næste måned skifter din iPhones Apple-id til et nyt navn
Benægter eksistens af gigantisk firewall for 230 millioner mennesker: VPN er skyld i sløjt internet
Test: Denne laptop rammer plet - er utrolig slank men alligevel utrolig stærk
Se alle »
CIO
Teaser billede
Detailkæde har mistet over 65 millioner kroner efter cyberangreb – kræver erstatning fra it-leverandør
Læs mere »
Hun flyttede til Frankrig med to kufferter og startede i et af verdens største CIO-job dagen efter: "De vigtige beslutninger blev bare ikke taget"
DSB køber cloud-løsning til 420 millioner kroner af hollandsk it-selskab: Skal afløse 30 år gammelt system
Der er under halvt så mange it-specialister i Danmark som regeringen påstår - tæller elektrikere og automekanikere med
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
KMD-direktør forlader selskabet: Det skal hun nu
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Til åbningsfest i det nye NNIT-hovedkontor: ”Som at flytte til New York sammenlignet med der hvor vi kommer fra” - se billederne
Se alle »
White paper
Teaser billede
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Sikkerhed uden grænser: Cisco Hypershield
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »