TormodK Skrevet 22. desember 2002 Rapporter Del Skrevet 22. desember 2002 Dette kommer opp i Apache-loggen.. Lite utrdag som virker mystisk!: *MIN EGEN IP-ADRESSE* - - [21/Dec/2002:06:13:42 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 *MIN EGEN IP-ADRESSE* - - [21/Dec/2002:06:13:50 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 Skal det være sånn? såvidt det ser ut så er det jo ett eller anna eller noen som får tilgang til command (cmd.exe) Lenke til kommentar
b-real Skrevet 22. desember 2002 Rapporter Del Skrevet 22. desember 2002 Hvem er det som prøver å få tilgang til denne kommandoen? Prøv å se på loggen litt før og se på IP'er og kommandoer som er kjørt i forkant av det du viser oss her. Lenke til kommentar
agvg Skrevet 22. desember 2002 Rapporter Del Skrevet 22. desember 2002 Dette kommer opp i Apache-loggen.. Lite utrdag som virker mystisk!: *MIN EGEN IP-ADRESSE* - - [21/Dec/2002:06:13:42 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 *MIN EGEN IP-ADRESSE* - - [21/Dec/2002:06:13:50 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 Skal det være sånn? såvidt det ser ut så er det jo ett eller anna eller noen som får tilgang til command (cmd.exe) http://www.securityspace.com/smysecure/w32...2_nmda_amm.html Lenke til kommentar
b-real Skrevet 22. desember 2002 Rapporter Del Skrevet 22. desember 2002 Det var da trivelig...Tør vi å anbefale en virus-scan? Lenke til kommentar
atticus Skrevet 22. desember 2002 Rapporter Del Skrevet 22. desember 2002 Det var da trivelig...Tør vi å anbefale en virus-scan? Nei.. :wink: Lenke til kommentar
TormodK Skrevet 22. desember 2002 Forfatter Rapporter Del Skrevet 22. desember 2002 Hm... Det sto at det var IIS dette gikk utover.. jeg kjører Apache, nyeste versjonen og hele pakka.. hvilken antivirus bruker jeg for å kvitte meg med denne faenskapen da....? Lenke til kommentar
Zenit Skrevet 22. desember 2002 Rapporter Del Skrevet 22. desember 2002 Hm... Det sto at det var IIS dette gikk utover.. jeg kjører Apache, nyeste versjonen og hele pakka.. hvilken antivirus bruker jeg for å kvitte meg med denne faenskapen da....? Norton Antivirus kan være et godt valg, Norman Antivirus er også bra. Andre gode antivirusprogrammer er gjerne de som utmerker seg i testene lagt ut her: http://www.virusbtn.com/vb100/archives/pro...ducts.xml?table Neste skritt er å laste ned et verktøy for å fjerne viruset. Husk å lese instruksjonene nøye, og pass på at du laster ned programmet for riktig versjon av nimda. http://securityresponse.symantec.com/avcen...tools.list.html [edit: trykkleif] Lenke til kommentar
agvg Skrevet 22. desember 2002 Rapporter Del Skrevet 22. desember 2002 Hm... Det sto at det var IIS dette gikk utover.. jeg kjører Apache, nyeste versjonen og hele pakka.. hvilken antivirus bruker jeg for å kvitte meg med denne faenskapen da....? Har du noe virus da? Er ikke dette infiserte servere som prøver og finne IIS-servere som er sårbare og motagelige. svjv må du kjøre IIS får og bli infisert via web? Lenke til kommentar
TormodK Skrevet 23. desember 2002 Forfatter Rapporter Del Skrevet 23. desember 2002 Altså... nå har jeg sjekket meg på den siden som er nevnt over, Jeg er 100% fri for virus... Hva er dette da? Lenke til kommentar
agvg Skrevet 23. desember 2002 Rapporter Del Skrevet 23. desember 2002 Altså... nå har jeg sjekket meg på den siden som er nevnt over, Jeg er 100% fri for virus... Hva er dette da? Det er infiserte IIS servere som prøver og finne andre sårbare IIS-servere, i og med du kjører apache så er du ikke sårbar og du kan nok bare slappe av. Lenke til kommentar
Neonlight Skrevet 23. desember 2002 Rapporter Del Skrevet 23. desember 2002 Er ikke 100% sikker på hvordan nimda fungerer.. men Code Red er designet for å port scanne alt og alle desverre.. ingen er unntatt, og viruset lever i beste velgående idag, som i fjor på denne tiden.. Kan tenke meg at nimda gjør noe av det samme.. ? sitter du bak en router? har du fast ip adresse? kan hende nimda har hengt seg opp på din ip adresse, og vil ikke gi seg.. prøv å slå av aksessen din i 10 minutter, koble til igjen, og se om det gir seg da.. bare et forslag :wink: Lenke til kommentar
TormodK Skrevet 23. desember 2002 Forfatter Rapporter Del Skrevet 23. desember 2002 Er ikke 100% sikker på hvordan nimda fungerer.. men Code Red er designet for å port scanne alt og alle desverre.. ingen er unntatt, og viruset lever i beste velgående idag, som i fjor på denne tiden.. Kan tenke meg at nimda gjør noe av det samme.. ? sitter du bak en router? har du fast ip adresse? kan hende nimda har hengt seg opp på din ip adresse, og vil ikke gi seg.. prøv å slå av aksessen din i 10 minutter, koble til igjen, og se om det gir seg da.. bare et forslag :wink: Jeg sitter bak en SMC barricade router... serveren har en intern IP, det som er merkelig at det er den IP`n som jeg har fått av ISP`n som prøver, kanskje får tilgang også, som dukker opp i loggen... Lenke til kommentar
WebWarrior Skrevet 24. desember 2002 Rapporter Del Skrevet 24. desember 2002 Er ikke 100% sikker på hvordan nimda fungerer.. men Code Red er designet for å port scanne alt og alle desverre.. ingen er unntatt, og viruset lever i beste velgående idag, som i fjor på denne tiden.. Kan tenke meg at nimda gjør noe av det samme.. ? sitter du bak en router? har du fast ip adresse? kan hende nimda har hengt seg opp på din ip adresse, og vil ikke gi seg.. prøv å slå av aksessen din i 10 minutter, koble til igjen, og se om det gir seg da.. bare et forslag :wink: Nimda gi alle brukere admin tilgang + endel mer som dere kan lese her. Hva problemet denne tråden angår har jeg ingen løsning annet enn å forsøke å scanne etter virus. Eventuellt prøve å logge alt som er av trafikk. Lenke til kommentar
LOBOS2 Skrevet 24. desember 2002 Rapporter Del Skrevet 24. desember 2002 Ikke at jeg er noen ekspert på Hacking, men dette ser veldig likt Unecode hacking og det funker bare på IIS. Kjører du en web side? Uansett sikkert en fyr eller script som har telneta til deg på port 80 eller en annen som lyter og skrevet inn commandoet for å prøve å få delvis Dos prompt tilgang. Begge commandoene her har prøvd å få kjørt dir på din marskin slik at det ville blitt vist i hans telnet vindu. Muligens for så å laste ned en trojan, virus ol fra en Tftp han har satt opp selv....... noe han tydlighvis ikke fikk gjort. Ditt system er derfor sikkert og du kan ikke ha fått noe virus trojan ol fra dette. Det du selv kan teste for å være sikker er jo å telnette til deg selv og prøve commandoene. De vill nok ikke funke, men da er du jo helt sikker. Lenke til kommentar
JarleW Skrevet 24. desember 2002 Rapporter Del Skrevet 24. desember 2002 Dette er helt normalt når du kjører webserver... Du har ikke (nødvendigvis) virus og har ikke blitt hacket. Så lenge det står en 4xx-feil (404 = Page not found) etter kommandoen som blir forsøkt kjørt så er du trygg ! Finner du derimot en 2xx/3xx feil så kan du like godt formatere først som sist. Har hatt disse linjene i log'en både på IIS og Apache. Ikke noe problem. Lenke til kommentar
Zenit Skrevet 24. desember 2002 Rapporter Del Skrevet 24. desember 2002 Jo, men det jeg stusser litt over er hvorfor i loggen hans blir disse forsøkene logget til å komme fra hans egen IP-adresse? Burdte det ikke ha blitt logget med en ekstern IP? Kommer det fra en ekstern IP så trenger jo ikke han bry seg noe mer om det siden det kjøres Apache. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå