Ga naar inhoud

Moet ik nu zenuwachtig worden ??


anoniem

Aanbevolen berichten

Ik heb sinds kort een http servertje draayen en nu zie ik in mijn acces.log veel meldingen staan als deze
code:
62.163.82.149 - - [12/Nov/2001:16:36:15 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
62.251.154.72 - - [28/Nov/2001:16:15:32 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 304
62.251.154.72 - - [28/Nov/2001:16:14:47 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283


Vaak ook nogeens op verschillende poorten. Daar ik van al dat "cracker" gedoe niks weet vraag ik me af ? Probeert men nu bij mij intebreken of wat is dit allemaal voor onzin ??

[This message has been edited by wstolk (edited 28-11-2001).]

Link naar reactie
quote:
Originally posted by danieldk: Ja, waarschijnlijk een worm. Hoef je je geen zorgen over te maken als je *nix draait.

Leuk ik draai dus een ftp en een http servertje (niet anonumous) Ik begrijp dat ik me dan eigenlijk wl zorgen moet maken ??

Er wordt dus eigenlijk gekeken of het een NT-server is zodat bestanden die gezocht worden niet gevonden worden maar het levert natuurlijk wel een hoop verkeer op ;(

Heeft het zin om uit te zoeken waar het vandaan komt en betreffende in te lichten ??

Link naar reactie
quote:
Originally posted by wstolk: Leuk ik draai dus een ftp en een http servertje (niet anonumous) Ik begrijp dat ik me dan eigenlijk wl zorgen moet maken ??

Er wordt dus eigenlijk gekeken of het een NT-server is zodat bestanden die gezocht worden niet gevonden worden maar het levert natuurlijk wel een hoop verkeer op ;(

Heeft het zin om uit te zoeken waar het vandaan komt en betreffende in te lichten ??


Teveel werk, ik had op een gegeven moment op een server tientallen per dag, zoek dan maar per IP uit vanwie het komt. Je kunt beter mensen over gaan halen om van NT over te stappen naar *nix, dat zal het probleem uiteindelijk alleen oplossen. (want ik zie MS nog geen veilig OS + webserver maken)

Link naar reactie
  • 2 weken later...
Naar aanleiding van deze thread eens in mijn acces.log gekeken. En jawel hoor daar stonden ook van dergelijke requests. Maakte me echt zorgen dat ik zach dat ie ook requests deed via het pad waarop mijn NT system partitie gemount is.

Dacht altijd dat ik weinig last zou hebben met een inbel verbinding. Zeg nou zelf hoe vaak ben je dan eigenlijk online?

Had ooit een boek gekocht om een firewall te kunnen maken als ik kabel zou krijgen. Nu ben ik um dus maar in elkaar aan het prutsen voor m'n inbel verbinding.

[This message has been edited by Bilbo (edited 08-12-2001).]

Link naar reactie
Nou gelukkig staat er bij mij alleen maar linux op die bak :wink: Het is tenslotte ook mijn firewall maar sinds ik deze bak in de lucht heb dacht ik leuk een eigen webservertje (apache) ftpservertje (proftpd) en mail te draaien en ohja samba draaid er ook nog op maar is gebonden aan eth1. het pad dat continu gezocht wordt zijn dus wel altijd winnt paden dus dat resulteerd constant in een 404 error :smile:

alleen jammer dat je logs zo groot worden en er zijn nu natuurlijk een hoop bezoekers die pagina's niet kunnen vinden :wink: ( ze bestaan tenslotte ook niet [lol] )

Link naar reactie
Kijk nu zie je goed wat er allemaal gebeurd. Om een leuk voorbeeld te noemen uit het boek know your enemy, een standaard redhat 6.2 installatie wordt binnen 72 uur gehacked en dit is meerdere keren getest. Iedere keer weer werd de machine door andere mensen gehacked. Gemiddeld krijg je zo'n 10 tot 20 portscans per dag. En wanneer je een "foute" IIS server of apache server draait ben je de klos ja. Maar wanneer je het een klein beetje in de gaten houd hoef je je geen zorgen te maken. Geregeld een keer je logs nakijken en de security site's erop nakijken. Mocht je wat meer beveiliging zoeken moet je eens naar het programma snort kijken. En ook de nix servers zijn niet veilig. Lees webwereld er maar eens op na vandaag :smile: telnet foutje.

grtz

Link naar reactie
Kzit nu te internetten op m'n laptop via een inbelverbinding op m'n tux.

Tux heeft een firewall, mailserver, httpserver, samba en ssh (geen telnet en ftp)

En ik maar wachten tot ik die lul weer terug zie in m'n logs...... had ik maar niet moeten klagen bij de abuse van z'n provider.... ik zie um niet meer. Portscans ook niet trouwens, maar die zullen nog wel komen.

Link naar reactie
Privacy is wel het minste probleem als je gehacked wordt

- Neem Herbie in een ander topic, je mailserver kan gebruikt worden voor spam - Je hdu als opslag van warez kiddie_porn

En vast nog wel meer. Punt is dat er dingen gedaan worden uit jouw naam. Het is jouw systeem. Jij bent verantwoordelijk. En zeker voor mijn tweede voorbeeld wil ik niet verantwoordelijk gehouden worden.

De brieven die ik stuur die op mijn systeem staan wil ik desnoods wel publiceren, mijn naam kapot maken is heel wat anders!

Link naar reactie
  • 1 maand later...
Hey, Dit lijkt op iemand die probeert via de unicode bug in het systeem te komen. Dit is een bug die in de IIS servers van MS zit. Volgens mij zit deze er zelfx bij de nieuwste versies van Win2000. Je kan een patch downloaden om deze bug eruit te halen. Ik weet niet precies waar maar moet je maar ff op internet zoeken. Succes, René
Link naar reactie
[quote:c0b1c800eb] Op 2001-12-14 22:52, schreef wstolk: kan me niet voorstellen dat iemand bij mij wil inbreken en dan nog er staat niets wat een ander niet mag zien anders zou ik tenslotte ook geen ftp draaien <IMG SRC="images/smiles/icon_wink.gif"> [/quote:c0b1c800eb]dacht ik ook..... Was een weekje aan het experimenteren met een RH6 server zonder firewall. Mooi gehackt, viel niets te halen, geen ftp of https draaien...... Het jaar daarvoor met een simpele maar effectieve firewall gedraaid (PMFirewall), dan wel pogingen tot toagang gelogd (minimaal 1x per dag) maar nooit gehacked. Nu ook al weer sinds sept de hacking plaats vond, weer een systeem met RH6 probleemlloos met PMFirewall. Ons systeem zit aan de kabel 24/24.
Link naar reactie
  • 4 maanden later...
Schopje, bij mij zijn ze ook nog steeds bezig, telkens weer een ander ip-adres. Is gewoo niet leuk. Er is geen overzicht meer in mijn logbestand... Gelukkig maar dat ik niet vatbaar ben, maar zorgt dit niet voor onnodig netwerkverkeer en/of opstoppingen o.i.d??? Draai trouwens RH7.3 met netfilter, bevalt prima.....
Link naar reactie

Om een reactie te plaatsen, moet je eerst inloggen

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

  • Populaire leden

    Er is nog niemand die deze week reputatie heeft ontvangen.

  • Leden

    Geen leden om te tonen

×
×
  • Nieuwe aanmaken...