Just nu i M3-nätverket
Jump to content

ett angrepp - ja


Monshi

Recommended Posts

Kör sedan ett par dagar Sambar Server 5.0 som Webserver på min dator via Telia ADSL. Lite bilder uppe för mina vänner att titta på.

 

Men idag var det inte en vän som pratade med Sambar.

Fick upp en mängd anrop från ett antal adresser som försökte följande anrop:

404 GET /scripts/xxx/winnt/system32/cmd.exe

där xxx är varierande

eller

404 GET /MSADC/root.exe

 

Nu kör jag Win98 så jag är ej orolig för anropen då de snarare verkar vara mot WinNT, men jag undrar ändå vad dessa anrop försökte göra och om det finns några säkerhetshål i Sambar server som jag borde känna till.

 

/T

(om jag kör igån servern igen så kommer det fler anrop fortfarande.)

Link to comment
Share on other sites

bakdörren som code red installerar består i att flytta cmd.exe till en publik mapp på webbservern - vilket då ger total frihet för vem som helst att exekvera kommandon på webbservern...

 

...de anrop du beskriver låter alltså som någon som kollar om din webbserver har denna bakdörr installerad. Mao inget att oroa sig för, dock kan du anmäla det till förövarens ISP då abuselagarna åtminstone bör ge denne en varning (eller avstängning).

 

Link to comment
Share on other sites

Mikael Ericsson

Det är datorer som är smittade med CodeRed som försöker smitta, eller köra kod på din dator.

Det finns massor med användare av Telia ADSL som är smittade utan att veta om det.

 

 

 

 

Link to comment
Share on other sites

Det är väl nån som tror att du kör IIS och försöker utnyttja bakdörren Code Red lämnar efter sig. Du behöver inte oroa dig efterssom du kör Samba.

 

Link to comment
Share on other sites

Det intressanta är att jag hittintills fått en hel del CodeRed anrop från inom Telias domäner. "Vanliga" anrop efter default.ida.

 

Men idag, för mindre än en timma sedan, dök första "angreppet" upp från en finsk domän.(Har aldrig tidigare fått anrop från den adressen) Detta verkade smitta vidare sig till andra datorer och jag har sedan dess fått samma förfrågningar från kanske 20 andra adresser enbart inom Telias nät.

Har den första datorn berättat för de andra att min dator kan vara öppen för intrång.

Och hur kommer det sig att det plötsligt övergått från "default.ida" anrop till att bli dessa andra förfrågningar.

 

borde jag skicka min logfil till Telia nu? Kanske då ska bifoga alla dessa Codered anrop som Zonealarm reggat inna jag startade Sambar.

 

/T(en italiensk adress har jag även hittat nu)

 

[inlägget ändrat 2001-09-18 17:16:52 av Monshi]

Link to comment
Share on other sites

Är det här verkligen Code Red?

Får själv massa såna här i loggen nu...

 

GET /scripts/root.exe?/c+dir

GET /MSADC/root.exe?/c+dir

GET /c/winnt/system32/cmd.exe?/c+dir

GET /d/winnt/system32/cmd.exe?/c+dir

GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir

GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir

GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir

 

/A

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...