hvad betyder dette??

Det er en orm på en IIS der prøver at hache din IIS som er en apache *G*

...

mener det er en CodeRed der sidder sidder på den IIS der prøver at hacke din webserver..

øhh...det er ikke med samme ip adresse...der er også flere danske ip nummere...startende med 131.164.xxx.xxx

/rathan

jaja.. det er flere servere... jeg har oss dem i min log på min server.. skide træls...

Jeg har lige formateret min computer samt fdisket den så den er helt ren...
Kan det være nogen der forsøger at hacke min hjemmeside???

/rathan

Det er en orm der sidder på en IIS som ik er opdateret..

Og den prøver at komme ind på en masse ip'r og så blev det din tur..

men bare rolig.. det virker ik på en apache... sååå..

men har jeg forstået det rigtigt at der søges på min commandoprompt??

/rathan

nej...

Det er bare den IIS der prøver at få fat i den fil... men den files ikke..

Fordi at det er en apache ;)

hvis det er en orm så ville det være de samme ip nummere der gik igen ikke???
/rathan

filen cmd.exe findes...det er commandoprompten

/rathan

jaja.. men det er fordi at det er et sikkerheds hul i IIS at man kan komme til den fil.. men det hul er ikke i apache.. og der sker ik en skid med din server..

Den der iss hvor sider den??

/rathan

jeg tror IKKE det er en orm

/rathan

Det er en orm..

http://securityresponse.symantec.com/avcenter/venc/data/codered.ii.html

Altså... tro hvad du vil..

jeg gider ikke at sidde og blive ved med at sige det er en orm.. sååå

Lad være.. eller tro på det... det bestemmer du så'n set selv.

//BooM

Det tror jeg stadig ikke for det angivne eksempel er det eneste hvor der er udenlanske ip nummere...alle andre er danske og er aktive...
/rathan

tak for hjælpen hrboom....måske kommer der en der har forstand på det....
/rathan

det kan sq da oss' være en dansk server der har fået codered ik ???

jaja... sikkert.. men tro hvad du vil..

jeg går af her...

rathan.. tag dig lidt sammen.. han prøver at hjælpe ?

Jeg siger at jeg tror ikke det er en orm....det er alt og jeg forbeholder mig retten til at være skeptisk okay...der er kun indgået svar fra een person det er vel iorden at afvente flere svar...jeg har på ingen måde været ubehaglig!!!
og at tilkende give at filen cmd.exe IKKE finde det ved jeg IKKE er rigtigt.

/rathan

Endvidere har jeg pænt takket for hjælpen

/rathan

ser her...

fra min log


[Thu Nov  7 08:59:28 2002] [error] [client 4.40.50.62] File does not exist: /var/www/html/scripts/..%5c%5c../winnt/system32/cmd.exe
[Thu Nov  7 11:34:15 2002] [error] [client 211.147.99.189] File does not exist: /var/www/html/scripts/..%5c%5c../winnt/system32/cmd.exe
[Thu Nov  7 12:50:04 2002] [error] [client 4.40.50.62] File does not exist: /var/www/html/scripts/..%5c%5c../winnt/system32/cmd.exe

Desuden har der været access på min hjemmeside fra flere af disse ip nummere for så bagefter at få den der fejlmeddelselse.
Havde det været codered ville der så først have været en access???
/rathan

Det er med 99,9% sikkerhed en codered-orm, der forsøger at finde ud af om din webserver er sårbar. Da det er en apache, er den IKKE sårbar og du kan derfor bare ignorere de requests.

Eventuelt, hvis du gider, kontakte administratoren for de domæner der forsøger sig og bede dem om at rense deres servere.

De requests er desværre meget normale. Det ville næsten undre mig mere, hvis du IKKE havde nogle i dine log-filer. :-)

tjaa... jeg ved ik... men hvem ville hacke dig..

er det et stort firma ?

eller ?

nix...bare en side med nøgne piger *GG*

/rathan

hehe... naarh.. det er med 99.9% sikkerhed det er en codered..

men codered ville ikke få en access først vel??
/rathan

den kan ikke...

da det er en apache og ikke en sårbar IIS

først er de siden rundt så begynder de her fejlmeddelser

/rathan

nåår sorry..

men jeg ved ikke..

okay...lad os antage et det ER en hacker ...hvor stor er sandsynligheden for at de kan nå min cmd.exe og hvordan vil de kunne komme ind ved hjælp af den??
/rathan

Det kan han ik.. da det er en apache.. og den har ik det sikkerheds hul i sig..

såå..

lig et svar igen hrboom...

Men er det HELT sikker (99%) at de ikke kan komme ind på denne måde igennem cmd.exe filen???

/rathan

Alle servere der er inficeret vil forsøge at finde andre servere der kører IIS som ikke er opdateret. Er webserveren (IIS) ikke opdateret angribes den og vil så forsøge at finde andre sårbare maskiner som så igen vil og så videre og så videre. Den er god nok, og det mest irriterende ved det er at de næsten kan lægge internet'et ned når der er rigtig mange igang. Det kan ihvertfald betyde langsommere trafik. Så HrBoom har helt ret.

ja.. for de kan ikke få fat på den fil på den måde...

da apache er sikker! og det er IIS ik!

sorry.. jeg blev lidt sur... hehe..

På den måde som der forsøges på din webserver vil det ikke lykkedes, da du ikke har en cmd.exe fil i din Apache mappe.

helt i orden :o) men når man ikke på det svar man søger er i overensstmmelse med får så er man jo nød til at forsætte...
Du har fortjent pointene...
/Rathan

takker for point...

;)

lige en ting mere vil de kunne nå min cmd.exe fil på anden måde??

/rathan

mener jeg ikke..

apache er den mest sikkere webserver

men det er muligt... (ALT er muligt for en Pro hacker)

jeg takker MEGET!!!

/rathan

Det kan jo være en eller anden.. der havde en IIS på sin comp.. (med CodeRed) og var inde og se din side.. og så den CodeRed så din ip og prøvet..

man ved jo aldrig...

hehe