Supportnet / Forum / Webseiten/HTML
Merkwürdiger Zugriff auf meinen Server
Frage
Hallo,
ich habe auf meinen Computer einen Server eingerichtet, merkwürdigerweise versucht immer jemand folgende Seite auf meinen Rechner zu öffen:
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXX%u9090%u6858%ucbd3%u7801%u9090%u6858
%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9
090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a
(die ganze Adresse in einer Zeile)
Thearoretisch wäre es mir ja egal, weil der/diejenige immer eine 404-Fehlermeldung laut meinen Logs erhält, aber etwas stutzig macht es mich schon.
Der Zugriff erfolgt immer von verschiedenen IP's (aber die Adresse bleibt die gleiche). Ich habe auch eine dynamische IP, aber trotzdem erfolgt der Zugriff immer wieder - was mich schon etwas stutzig macht...
Weiß damit jemand was anzufangen (warum sollte jemand immer so eine komische Adresse versuchen aufzurufen)?
[i]<gruß thj>[/i]
Antwort 1 von Limbius
Oft versucht man mit "angepassten" Links Schwachstellen in dem Server OS auszunutzen. Diese nutzen jedoch normalerweise Schwachstellen in CGI Skripten aus wie zB ein noch nicht gelöschtes test.cgi im cgi-bin Verzeichnis. Aus diesen Kauderwelsch werde ich jedoch auch nicht schlau !! Das Default.ida deutet jedoch auf das Ausnutzen einer solchen Schwachstelle hin...
Aber schon nach kurzem Googeln macht sich diese Info auf !!
> GET /default.ida?NNNNNNNNNNNNNNNNNN...
>
> (with a long request string)
>
> This apparently expoits a hole in Microsoft IIS servers.
> This won't affect us, since we run Apache on all our servers.
>
> My question - what can/should be done about these requests?
>
Aber schon nach kurzem Googeln macht sich diese Info auf !!
> GET /default.ida?NNNNNNNNNNNNNNNNNN...
>
> (with a long request string)
>
> This apparently expoits a hole in Microsoft IIS servers.
> This won't affect us, since we run Apache on all our servers.
>
> My question - what can/should be done about these requests?
>
Antwort 2 von Limbius
Für mehr Info schau mal hier !
http://www.datarescue.com/fprot/virinfo/defaultida.htm
http://www.datarescue.com/fprot/virinfo/defaultida.htm
Antwort 3 von TheHappyJoker
Jepp, danke Dir für die Infos/Links.
Hab' herausgefunden, dass dafür der Code-Red-Wurm verantwortlich ist. Und zwar ist der "Angreifer" damit infiziert und versucht (vermulich unbeabsichtigt) sporadisch weitere IIS-Server zu infizieren (dort wird dann ein Buffer Overflow hervorgerufen).
Hach wie gut, dass ich Apache benutze :)
Vielleicht sollte ich beim nächten "Angriff" den "Abgreifer" mal diese Info geben...
<gruß thj>
Hab' herausgefunden, dass dafür der Code-Red-Wurm verantwortlich ist. Und zwar ist der "Angreifer" damit infiziert und versucht (vermulich unbeabsichtigt) sporadisch weitere IIS-Server zu infizieren (dort wird dann ein Buffer Overflow hervorgerufen).
Hach wie gut, dass ich Apache benutze :)
Vielleicht sollte ich beim nächten "Angriff" den "Abgreifer" mal diese Info geben...
<gruß thj>
Antwort 4 von Limbius
wenn du die IP hast schick ihm die Info doch per Netsend ;-) !!!