WCM Forum - weblog: hackerangriff??

WCM Forum (http://www.wcm.at/forum/index.php)

- Internet (http://www.wcm.at/forum/forumdisplay.php?f=8)

- - weblog: hackerangriff?? (http://www.wcm.at/forum/showthread.php?t=47092)

weblog: hackerangriff??

Hi,

hab mir einen Webserver installiert und ZoneAlarm abgedreht gehabt.
Gerade schau ich in den Weblog und was sehe ich da?:

...
12:11:39 62.x.x.x GET /scripts/root.exe 404
12:11:44 62.x.x.x GET /MSADC/root.exe 404
12:12:28 62.x.x.x GET /c/winnt/system32/cmd.exe 404
12:12:33 62.x.x.x GET /d/winnt/system32/cmd.exe 404
12:12:35 62.x.x.x GET /scripts/..%5c../winnt/system32/cmd.exe 200
12:17:14 62.x.x.x GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
12:17:20 62.x.x.x GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
12:18:37 62.x.x.x GET /scripts/..%5c../winnt/system32/cmd.exe 502
12:18:42 62.x.x.x GET /scripts/..%5c../winnt/system32/cmd.exe 502
12:18:53 62.x.x.x GET /scripts/..%5c../winnt/system32/cmd.exe 502
...

Hat da jemand oder hat da jemand nicht (versucht?) Systemdateien von mir herunterzuladen??

Re: weblog: hackerangriff??

Zitat:

Original geschrieben von Gironimo
Hi,

hab mir einen Webserver installiert und ZoneAlarm abgedreht gehabt.
Gerade schau ich in den Weblog und was sehe ich da?:

...
12:11:39 62.x.x.x GET /scripts/root.exe 404
12:11:44 62.x.x.x GET /MSADC/root.exe 404
12:12:28 62.x.x.x GET /c/winnt/system32/cmd.exe 404
12:12:33 62.x.x.x GET /d/winnt/system32/cmd.exe 404
12:12:35 62.x.x.x GET /scripts/..%5c../winnt/system32/cmd.exe 200
12:17:14 62.x.x.x GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
12:17:20 62.x.x.x GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
12:18:37 62.x.x.x GET /scripts/..%5c../winnt/system32/cmd.exe 502
12:18:42 62.x.x.x GET /scripts/..%5c../winnt/system32/cmd.exe 502
12:18:53 62.x.x.x GET /scripts/..%5c../winnt/system32/cmd.exe 502
...

Hat da jemand oder hat da jemand nicht (versucht?) Systemdateien von mir herunterzuladen??

... und auch gefunden?

http response code 200 = ok

http://www.hwg.org/lists/hwg-servers...nse_codes.html

Grüße

Manx

dein webserver wurde von einem anderen der mit codered infiziert ist, auf das IIS-exploit "geprobed".

siehe diesen link hier :

http://securityresponse.symantec.com...odered.ii.html

du solltest ein mail an den aon-sysadmin schicken mit angabe der ip sowie datum/zeit des zugriffs.
am besten gleich das ganze log - codered gehört ausgerottet wos einem unterkommt.

--qu

Danke für die Antworten.

Wieso AON? Wie finde ich heraus, wem die IP gehört bzw. zu welchen Provider (IP-Kreis) diese gehört?

naja - das erste byte der ip war 62 - ich hab einfach geraten weil aon subnets in 62.46.x.x hat.

geh auf

http://www.netsol.com/cgi-bin/whois/whois;jsessionid=JJE2HSSNOS4PZWFI3FXCFEY

und gib die ip in das suchfeld ein - dann müsstest eigentlich sehen wem die adresse gehört.

--qu

Danke für den Tip. Funktioniert aber net. "No match for ...". Findet nämlich zu meiner IP auch nix, und meine ist ne offizielle.

Gruß
Gironimo

www.ripe.net -> whois db

Zitat:

Original geschrieben von maXTC
www.ripe.net -> whois db

Danke! Jetzt weiß ich's: UTA Telekom ...

... oder gleich Sam Spade verwenden, findet auch die außerhalb der RIPE.

http://samspade.org/ssw/screenshot.html

Grüße

Manx