Intrång eller?

[Erki]

I min w2k maskin kör jag ZoneAlarm och i loggfilen ser jag en hel del försök som stoppas. Jag hittade i dag två mappar under C:\WINNT\system32\LogFiles; W3SVC1 och MSFTPSVC1 de innehåller filer med namn typ ex020404.log när jag tittar i dem hittar jag

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2002-04-04 07:48:15
#Fields: time c-ip cs-method cs-uri-stem sc-status 
07:48:15 213.88.149.80 GET /scripts/root.exe 404
07:48:15 213.88.149.80 GET /MSADC/root.exe 404
07:48:15 213.88.149.80 GET /c/winnt/system32/cmd.exe 404
.
.
och
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2002-03-18 21:55:24
#Fields: time c-ip cs-method cs-uri-stem sc-status 
21:55:24 213.93.24.31 [1]USER anonymous 331
21:55:24 213.93.24.31 [1]PASS Dgpuser@home.com 230
21:55:26 213.93.24.31 [1]MKD 020318225518p 550

IP-adresserna varierar, flera svenska typ Bredbandsbolaget och Telia men även en del japanska.

Vad är detta?

 

[inlägget ändrat 2002-04-10 22:27:15 av Erki]

[Cytech]

 

07:48:15 213.88.149.80 GET /scripts/root.exe 404

07:48:15 213.88.149.80 GET /MSADC/root.exe 404

07:48:15 213.88.149.80 GET /c/winnt/system32/cmd.exe 404

 

troligen ett CodeRed eller Nimda intrångsförsök... sista siffrorna anger HTTP felkoden (404), alltså i detta fall "File not found", så inget har hänt. Inte mkt man kan göra åt det tyvärr. De flesta internetleverantörer anser att det är användarnas ansvar att se till så deras datorer inte är infekterade av virus, så även om man skickar anmälan till deras abuse avdelning brukar de sällan göra nåt.

 

 

 

 

 

[inlägget ändrat 2002-04-10 22:36:42 av Cytech]

[Erki]

Du skriver

intrångsförsök

innebär det att jag inte har något i min maskin. Jag har sökt igenom med både eTrust och NOD32 utan att hitta något virus. Några av loggfilerna såg lite annorlunda ut, innehöll skräptecken blandat med ord

 ref:__EventFilter  MaintainSecurityContext     

 €   ~   boolean  SlowDownProviders              
 €   ¹   boolean                 _F   €       ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ   $   _ _[color="#0000ff"] T i m e r N e x t F i r i n g [/color]   

 

I andra loggarhittade jag typ

12:54:41 213.135.164.136 GET /localstart.asp 200
12:54:41 213.135.164.136 GET /warning.gif 200

10:11:36 213.70.93.1 GET /scripts/..%5c../winnt/system32/cmd.exe 200

 

200 är väl lika med OK dvs körningen av skriptet har lyckats?

 

Vad kan jag göra?

 

[LarsW]

Vad kan jag göra?

 

Uppdatera mera. Gå till Windowsupdate minst varje vecka.

 

Du är ute på The Wild World Wide Web. You Are Alone Out There.

 

Var i stället glad att du har ett uppenbarligen fullgott skydd mot intrång. Det första var ett Nimda.

 

Det andra något annat, om man säger.

 

Om du vill, kan du alltid göra lookups på adresserna och anmäla intrångsförsöket till

abuse@den.doman.du.spårade.adressen.till

och hoppas att de är någorlunda seriösa.

 

Vad gäller din personliga säkerhet är det bäst att du sätter en maskin som är dedicerad webserver i DMZ, så att du inte riskerar din personliga dator.

 

Det finns väl ingen som tror att Nimda eller Code Red är sista ordet när det gäller maskar/intrång och allt annat?

 

________________________________________

Bug eller feature? -This is by design(MS Knowledge Base)

 

 

[Webster]

Se till att delta aktivt i arbetet med att sanera smittade maskiner genom att skicka din log till Dshield:

 

http://www.dshield.org/nimda.html