Moet ik nu zenuwachtig worden ??

[anoniem]

Ik heb sinds kort een http servertje draayen en nu zie ik in mijn acces.log veel meldingen staan als deze

code:

---

62.163.82.149 - - [12/Nov/2001:16:36:15 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
62.251.154.72 - - [28/Nov/2001:16:15:32 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 304
62.251.154.72 - - [28/Nov/2001:16:14:47 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283

---

Vaak ook nogeens op verschillende poorten. Daar ik van al dat "cracker" gedoe niks weet vraag ik me af ? Probeert men nu bij mij intebreken of wat is dit allemaal voor onzin ??

[This message has been edited by wstolk (edited 28-11-2001).]

[anoniem]

Ja, waarschijnlijk een worm. Hoef je je geen zorgen over te maken als je *nix draait.

[anoniem]

quote:

---

Originally posted by danieldk: Ja, waarschijnlijk een worm. Hoef je je geen zorgen over te maken als je *nix draait.

---

Leuk ik draai dus een ftp en een http servertje (niet anonumous) Ik begrijp dat ik me dan eigenlijk wl zorgen moet maken ??

Er wordt dus eigenlijk gekeken of het een NT-server is zodat bestanden die gezocht worden niet gevonden worden maar het levert natuurlijk wel een hoop verkeer op ;(

Heeft het zin om uit te zoeken waar het vandaan komt en betreffende in te lichten ??

[anoniem]

Ziet eruit alsof het W32.Nimda@mm is die steeds toegang zoekt tot je webserver. Zolang deze onder *nix draait, is er niks aan de hand.

------------------ Ik gun Linus Torvalds ook zijn eigen website en domeinnaam, deze is geworden: www.linustorvalds.net

[anoniem]

quote:

---

Originally posted by wstolk: Leuk ik draai dus een ftp en een http servertje (niet anonumous) Ik begrijp dat ik me dan eigenlijk wl zorgen moet maken ??

Er wordt dus eigenlijk gekeken of het een NT-server is zodat bestanden die gezocht worden niet gevonden worden maar het levert natuurlijk wel een hoop verkeer op ;(

Heeft het zin om uit te zoeken waar het vandaan komt en betreffende in te lichten ??

---

Teveel werk, ik had op een gegeven moment op een server tientallen per dag, zoek dan maar per IP uit vanwie het komt. Je kunt beter mensen over gaan halen om van NT over te stappen naar *nix, dat zal het probleem uiteindelijk alleen oplossen. (want ik zie MS nog geen veilig OS + webserver maken)

[anoniem]

Naar aanleiding van deze thread eens in mijn acces.log gekeken. En jawel hoor daar stonden ook van dergelijke requests. Maakte me echt zorgen dat ik zach dat ie ook requests deed via het pad waarop mijn NT system partitie gemount is.

Dacht altijd dat ik weinig last zou hebben met een inbel verbinding. Zeg nou zelf hoe vaak ben je dan eigenlijk online?

Had ooit een boek gekocht om een firewall te kunnen maken als ik kabel zou krijgen. Nu ben ik um dus maar in elkaar aan het prutsen voor m'n inbel verbinding.

[This message has been edited by Bilbo (edited 08-12-2001).]

[anoniem]

Nou gelukkig staat er bij mij alleen maar linux op die bak :wink: Het is tenslotte ook mijn firewall maar sinds ik deze bak in de lucht heb dacht ik leuk een eigen webservertje (apache) ftpservertje (proftpd) en mail te draaien en ohja samba draaid er ook nog op maar is gebonden aan eth1. het pad dat continu gezocht wordt zijn dus wel altijd winnt paden dus dat resulteerd constant in een 404 error :smile:

alleen jammer dat je logs zo groot worden en er zijn nu natuurlijk een hoop bezoekers die pagina's niet kunnen vinden :wink: ( ze bestaan tenslotte ook niet [lol] )

[anoniem]

Misschien een idee om de wormkiller (althans logkiller) te installeren van www.adsl4linux.nl

Greetz,

------------------ Michael

http://bovendelft.xs4all.nl

[anoniem]

Kijk nu zie je goed wat er allemaal gebeurd. Om een leuk voorbeeld te noemen uit het boek know your enemy, een standaard redhat 6.2 installatie wordt binnen 72 uur gehacked en dit is meerdere keren getest. Iedere keer weer werd de machine door andere mensen gehacked. Gemiddeld krijg je zo'n 10 tot 20 portscans per dag. En wanneer je een "foute" IIS server of apache server draait ben je de klos ja. Maar wanneer je het een klein beetje in de gaten houd hoef je je geen zorgen te maken. Geregeld een keer je logs nakijken en de security site's erop nakijken. Mocht je wat meer beveiliging zoeken moet je eens naar het programma snort kijken. En ook de nix servers zijn niet veilig. Lees webwereld er maar eens op na vandaag :smile: telnet foutje.

grtz

[anoniem]

Kzit nu te internetten op m'n laptop via een inbelverbinding op m'n tux.

Tux heeft een firewall, mailserver, httpserver, samba en ssh (geen telnet en ftp)

En ik maar wachten tot ik die lul weer terug zie in m'n logs...... had ik maar niet moeten klagen bij de abuse van z'n provider.... ik zie um niet meer. Portscans ook niet trouwens, maar die zullen nog wel komen.

[anoniem]

As je het over de duvel hebt.... net een zootje logs erbij.... ga ik ff uitspitten....

Zal ook wel gouw gaan vervelen zeker? Als die portscans echt zo vaak voorkomen?

[anoniem]

Ach het vervelende is dat je logs zo groot worden met onzin :wink:

[anoniem]

Privacy is wel het minste probleem als je gehacked wordt

- Neem Herbie in een ander topic, je mailserver kan gebruikt worden voor spam - Je hdu als opslag van warez kiddie_porn

En vast nog wel meer. Punt is dat er dingen gedaan worden uit jouw naam. Het is jouw systeem. Jij bent verantwoordelijk. En zeker voor mijn tweede voorbeeld wil ik niet verantwoordelijk gehouden worden.

De brieven die ik stuur die op mijn systeem staan wil ik desnoods wel publiceren, mijn naam kapot maken is heel wat anders!

[anoniem]

BTW

Mijn logs waren nuttig... het betrof de output chain, dus een fout aan mijn kant.

Bleek dat samba dns peer to peer request maakte naar de dns1 van mijn provider. Wist niet eens dat ie dat kon :grin:

[anoniem]

Hey, Dit lijkt op iemand die probeert via de unicode bug in het systeem te komen. Dit is een bug die in de IIS servers van MS zit. Volgens mij zit deze er zelfx bij de nieuwste versies van Win2000. Je kan een patch downloaden om deze bug eruit te halen. Ik weet niet precies waar maar moet je maar ff op internet zoeken. Succes, René

[anoniem]

[quote:c0b1c800eb] Op 2001-12-14 22:52, schreef wstolk: kan me niet voorstellen dat iemand bij mij wil inbreken en dan nog er staat niets wat een ander niet mag zien anders zou ik tenslotte ook geen ftp draaien <IMG SRC="images/smiles/icon_wink.gif"> [/quote:c0b1c800eb]dacht ik ook..... Was een weekje aan het experimenteren met een RH6 server zonder firewall. Mooi gehackt, viel niets te halen, geen ftp of https draaien...... Het jaar daarvoor met een simpele maar effectieve firewall gedraaid (PMFirewall), dan wel pogingen tot toagang gelogd (minimaal 1x per dag) maar nooit gehacked. Nu ook al weer sinds sept de hacking plaats vond, weer een systeem met RH6 probleemlloos met PMFirewall. Ons systeem zit aan de kabel 24/24.

[anoniem]

[quote:d173d6cd4e] Op 2001-12-16 00:10, schreef Bilbo: - Je hdu als opslag van warez kiddie_porn [/quote:d173d6cd4e] Ik draai een www/ftp/etc. server hier op de uni voor een afdeling. Je wil niet weten hoeveel mensen er proberen anoniem in te loggen om warez up te loaden.

[anoniem]

Ik bedoel maar... het zijn echt je giro bestanden niet die interresant zijn.

[anoniem]

Schopje, bij mij zijn ze ook nog steeds bezig, telkens weer een ander ip-adres. Is gewoo niet leuk. Er is geen overzicht meer in mijn logbestand... Gelukkig maar dat ik niet vatbaar ben, maar zorgt dit niet voor onnodig netwerkverkeer en/of opstoppingen o.i.d??? Draai trouwens RH7.3 met netfilter, bevalt prima.....