CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

halden Nybegynder

27. oktober 2003 - 23:22 Der er 6 kommentarer og
1 løsning

Resin hackning

Jeg tror sku min server er blevet hacket. Her er et lille udtræk fra min resin-2.1.11 access log:
80.197.232.154 - - [27/Oct/2003:22:10:44 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 186 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:10:44 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 184 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:10:45 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 194 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:10:46 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 194 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:10:47 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 211 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:10:48 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 211 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:21 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 186 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:21 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 184 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:21 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 194 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:22 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 194 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:24 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 211 "-" "-"
80.197.232.154 - - [27/Oct/2003:22:18:24 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 211 "-" "-"

Nogen der kan hjælpe mig med at tyde det nærmere???
Kan jo se at der er blevet prøvet at køre en kommando promt-men er det lykkedes??? og hvad hvis det er???
Hvad kan jeg gøre for at undgå det???

Synes godt om

halden Nybegynder

27. oktober 2003 - 23:26 #1

nogen der kan give mig et link til hvor man kan spore en ip-adresse???

Synes godt om

mousekeeperx Nybegynder

27. oktober 2003 - 23:38 #2

Det er formetlig en eller anden maskine der er blevet smittet (og ejeren ikke ved noget), som så prøver at angribe din server. Det ser ud som om det er IIS den primært går efter, men nu ved jeg jo ikke hvor mange linier af den sklags du har i loggen.

De linier du har sendt viser i hvert fald ikke at der har været succes hos dig

IP adresser kan du fx tjekke på
http://www.ripe.net/db/whois/whois.html

Det er i øvrigt en tdc ejet ip, så jeg ville nok kontkte deres abuse-afdeling på csirt@csirt.dk

mvh /M

Synes godt om

minijensen1 Nybegynder

27. oktober 2003 - 23:39 #3

det er ikke lykkedes med nogle af de ting der .. efter filnavnet som den har prøvet at køre/hente kan du se at der står 404 - det betyder at serveren har meldt "filen ikke fundet" tilbage til personen .. du kan søge efter ipinformationer hos ripe.net og dk-hostmaster.dk - men du får kun noget af vide omkring udbyderen - ikke om selve personen..

det han har prøvet på er at køre nogle filer og kommandoer, som måske kunne være tilgængelige via webserveren - hvilket de så ikke er.

Synes godt om

minijensen1 Nybegynder

27. oktober 2003 - 23:43 #4

noget vrøvl jeg skriver at man kan finde ip hos dk-hostmaster.dk ..

tror bare at du skal følge hvad mousekeeperx siger - og så vil jeg hoppe i seng :X

hvis det er den samme ip du får det fra, så kan du jo installere en firewall - og så blokere den pågældende ip deri - så får du ihvertfald ikke fyldt dine logfiler med spam.

Synes godt om

halden Nybegynder

27. oktober 2003 - 23:52 #5

tak for det hurtige svar - har skrevet til dem...

Synes godt om

lars_resulture Nybegynder

28. oktober 2003 - 00:34 #6

Som mousekeeperx forklarer,
er der tale om forsøg på at hacke en IIS server.
Har har også min web-server log fyldt med disse forsøg.
Jeg selv bruger Lotus Domino og den er helt heldigvis immun overfor deres forsøg.

Nok desværre ret begrænset hvad man kan gøre, da det jo sandsynligvis er en uskyldigs maskine, der bliver udnyttet til hacking forsøget....

Synes godt om

mousekeeperx Nybegynder

28. oktober 2003 - 00:51 #7

halden: resin er en glimrende servletrunner - det var den i hvert fald da jeg legede med den sidst - og så er/var den gratis så længe man bare sad og udviklede. PS: Du er sikkert heldig at du ikke benytter iis til http-delen ;-)

Lars: Lotus Domino har jeg ikke noget erfaring med, men jeg kan godt forestille mig at der ikke er ret mange angreb der er rettet specifikt mod den.

På den anden side bør man vel forsøge at hjælpe andre (og i den sideste ende sig selv) - altså sige til dem at de har en virustingest et eller andet sted i maven på deres computer, som halden har gjort (hvis altså tdc kører videre med det). Mange ved slet ikke at der noget galt, og det er sgu blevet noget af et problem efterhånden som alle har rimelig hurtige forbindelser til nettet og fast ip og ingen erfaring med sikkerhed.
Snip snap snude - så er det ved at være sengetid...

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

It-udvikling kurser

Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Se alle It-udvikling kurser

Flere spørgsmål fra Webservere kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Yousee Af nu_igen i Webservere	1	08/04/202408:21	09/04/202409:44
.htaccess til PHP API Af Jan i Webservere	9	29/02/202408:05	29/02/202409:30
Web.config Af ingeman i Webservere	0	07/01/202409:53	-
IIS virker ikke på asp sider... Af bsn i Webservere	8	15/10/202313:14	18/10/202308:51
Ingen forbindelse Af ZeBa i Webservere	5	08/04/202319:17	08/04/202319:55

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS