CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

halden Nybegynder

27. oktober 2003 - 23:22 Der er 6 kommentarer og
1 løsning

Resin hackning

Jeg tror sku min server er blevet hacket. Her er et lille udtræk fra min resin-2.1.11 access log:
80.197.232.154 - - [27/Oct/2003:22:10:44 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 186 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:10:44 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 184 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:10:45 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 194 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:10:46 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 194 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:10:47 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 211 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:10:48 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 211 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:21 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 186 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:21 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 184 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:21 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 194 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:22 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 194 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:24 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 211 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:24 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 211 "-" "-"

Nogen der kan hjælpe mig med at tyde det nærmere???
Kan jo se at der er blevet prøvet at køre en kommando promt-men er det lykkedes??? og hvad hvis det er???
Hvad kan jeg gøre for at undgå det???

Synes godt om

halden Nybegynder

27. oktober 2003 - 23:26 #1

nogen der kan give mig et link til hvor man kan spore en ip-adresse???

Synes godt om

mousekeeperx Nybegynder

27. oktober 2003 - 23:38 #2

Det er formetlig en eller anden maskine der er blevet smittet (og ejeren ikke ved noget), som så prøver at angribe din server. Det ser ud som om det er IIS den primært går efter, men nu ved jeg jo ikke hvor mange linier af den sklags du har i loggen.

De linier du har sendt viser i hvert fald ikke at der har været succes hos dig

IP adresser kan du fx tjekke på
http://www.ripe.net/db/whois/whois.html

Det er i øvrigt en tdc ejet ip, så jeg ville nok kontkte deres abuse-afdeling på csirt@csirt.dk

mvh /M

Synes godt om

minijensen1 Nybegynder

27. oktober 2003 - 23:39 #3

det er ikke lykkedes med nogle af de ting der .. efter filnavnet som den har prøvet at køre/hente kan du se at der står 404 - det betyder at serveren har meldt "filen ikke fundet" tilbage til personen .. du kan søge efter ipinformationer hos ripe.net og dk-hostmaster.dk - men du får kun noget af vide omkring udbyderen - ikke om selve personen..

det han har prøvet på er at køre nogle filer og kommandoer, som måske kunne være tilgængelige via webserveren - hvilket de så ikke er.

Synes godt om

minijensen1 Nybegynder

27. oktober 2003 - 23:43 #4

noget vrøvl jeg skriver at man kan finde ip hos dk-hostmaster.dk ..

tror bare at du skal følge hvad mousekeeperx siger - og så vil jeg hoppe i seng :X

hvis det er den samme ip du får det fra, så kan du jo installere en firewall - og så blokere den pågældende ip deri - så får du ihvertfald ikke fyldt dine logfiler med spam.

Synes godt om

halden Nybegynder

27. oktober 2003 - 23:52 #5

tak for det hurtige svar - har skrevet til dem...

Synes godt om

lars_resulture Nybegynder

28. oktober 2003 - 00:34 #6

Som mousekeeperx forklarer,
er der tale om forsøg på at hacke en IIS server.
Har har også min web-server log fyldt med disse forsøg.
Jeg selv bruger Lotus Domino og den er helt heldigvis immun overfor deres forsøg.

Nok desværre ret begrænset hvad man kan gøre, da det jo sandsynligvis er en uskyldigs maskine, der bliver udnyttet til hacking forsøget....

Synes godt om

mousekeeperx Nybegynder

28. oktober 2003 - 00:51 #7

halden: resin er en glimrende servletrunner - det var den i hvert fald da jeg legede med den sidst - og så er/var den gratis så længe man bare sad og udviklede. PS: Du er sikkert heldig at du ikke benytter iis til http-delen ;-)

Lars: Lotus Domino har jeg ikke noget erfaring med, men jeg kan godt forestille mig at der ikke er ret mange angreb der er rettet specifikt mod den.

På den anden side bør man vel forsøge at hjælpe andre (og i den sideste ende sig selv) - altså sige til dem at de har en virustingest et eller andet sted i maven på deres computer, som halden har gjort (hvis altså tdc kører videre med det). Mange ved slet ikke at der noget galt, og det er sgu blevet noget af et problem efterhånden som alle har rimelig hurtige forbindelser til nettet og fast ip og ingen erfaring med sikkerhed.
Snip snap snude - så er det ved at være sengetid...

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

It-udvikling & AI kurser

Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Se alle It-udvikling & AI kurser

Flere spørgsmål fra Webservere kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
HTML-LINKS Af snestrup2000 i Webservere	2	16/11/202415:33	16/11/202418:41
Wordpress fejl Action Scheduler ? Af fimo i Webservere	2	24/10/202410:16	27/10/202412:07
My Cloud Home (hjemme server) Af Erik Hovedskou i Webservere	13	19/10/202419:51	20/10/202419:35
Periodisk lang responstid Af AlbertK i Webservere	3	23/08/202415:54	24/08/202421:48
Yousee Af nu_igen i Webservere	1	08/04/202408:21	09/04/202409:44

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS

22/11

Test: Den snusfornuftige Volkswagen ID.3 blevet til lidt af el-bisse

22/11

Vil købe tele-løsninger til det offentlige for 370 millioner kroner

22/11

Nørgaard: Det er de neuro-divergente originalers tid

22/11

Sker helt åbenlyst: Ansatte i den kinesiske stat sælger borgernes personlige data på hemmelige internet-fora

22/11

Efterspørgslen på AI-regnekraft er enorm - og det smitter af på priserne: "Vi kan sælge næsten alt, hvad vi får ind"

22/11

Derfor bliver den amerikanske tvangs-opdeling af Google nok ikke til noget

22/11

Nyt værtøj fra Microsoft: Snart kan du reparere nedbrudte Windows-enheder på distancen

22/11

Vi har fundet 10 ledige it-stillinger, som du kan søge netop nu

22/11

Politiet skriver kontrakt på 75 millioner kroner med dansk it-firma: Medarbejdere skal flytte ind hos politiet

22/11

Kombit gør klar til at købe it-konsulenter for 140 millioner kroner - her er planen

22/11

Droner i krig - sådan anvendes de mest effektivt på slagmarken

Vis flere artikler

IT-JOB

Quadsat ApS

Robotics Engineer

Zealand Business College

Kunne du tænke dig at dele ud af din viden om robotter og PLC, så er det måske dig ZBC søger

TV2

Software Engineer, Integrations

KMD A/S

Senior Project Manager

Udviklings- og Forenklingsstyrelsen

Motiverende chefkonsulent med souschefopgaver til PMO Gældssystemer

Vis flere jobs

Seneste spørgsmål Seneste aktivitet

I dag 15:56	Navigation i Peugeot 3-2008 fra 2017 Af arnepedersen i Andet software
I dag 14:10	Outlook henter ikke mails Af TTA i Office & Kontorpakker
I dag 13:58	vise billeder i kartotek med store ikoner inklusive optagelsesdato Af Malm i Billedbehandling
I dag 13:35	Adobe Elements 2019, Organizer Crasher Af mort1 i Billedbehandling
I går 20:49	pop up black friday Af Malm i Virus