Nickles › Forum › Internet › Heimnetzwerke - WIFI, LAN, Router und Co

Heimnetzwerke - WIFI, LAN, Router und Co 16.538 Themen, 81.400 Beiträge

Nimda oder was?

Nickel85 am 08.12.2001, 00:00 / 7 Antworten / Baumansicht

Auf meinem DSL-Rechner läuft der Apache WWW-Server.

Ich finde in der error.log sehr häufig folgende Zeilen (jeweils von ein und demselben Client, der zeitliche Abstand zwischen den Meldungen beträgt) 1-3 Sekunden.

Das sieht mir fast aus wie Nimda... - Isser das? Wenn nicht: was dann?

----------------------------------------------------------------------
File does not exist: c:/web/html/scripts/root.exe
File does not exist: c:/web/html/msadc/root.exe
File does not exist: c:/web/html/c/winnt/system32/cmd.exe
File does not exist: c:/web/html/d/winnt/system32/cmd.exe
File does not exist: c:/web/html/scripts/..%5c/winnt/system32/cmd.exe
File does not exist: c:/web/html/_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
File does not exist: c:/web/html/_mem_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
File does not exist: c:/web/html/msadc/..%5c/..%5c/..%5c/..Á/..Á/..Á/winnt/system32/cmd.exe
File does not exist: c:/web/html/scripts/..Á/winnt/system32/cmd.exe
----------------------------------------------------------------------

Gruß

Nic

PS: C:/web/html/ ist das Root-Dir vom Apache...

    
        diavolino Nickel85 „Nimda oder was?“
      
        09.12.2001, 00:00 Optionen
      
          Schliesse die Internetverbindung, danach sollte es aufören.

          Ist ein Hackangriff, die versuchen remote ein Dos fenster (cdm.exe)

          zu öffnen damit sie deinen rechner umkrempeln können.

          Ein Viruscheck schadet aber sicher nicht.

          Gruss und schönen Sonntag

          Diavolino
        
             bei Antwort benachrichtigen
        
        Nickel85 diavolino „Schliesse die Internetverbindung, danach sollte es aufören. Ist ein...“
      
        09.12.2001, 00:00 Optionen
      
          Reconnect bringt nix, und es kommt ja von diversen IPs

          (fast nur von 62er oder 217er IPs => T-Online)

          Auf dem Rechner läuft Norton CE 7.51 mit aktuellsten Definitionen, Viren sind also eigentlich kein Thema...
        
             bei Antwort benachrichtigen
        
        Nickel85 Nachtrag zu: „Nimda oder was?“
      
        09.12.2001, 00:00 Optionen
      
          Was ich nicht ganz so häufig, jedoch mit gewisser Regelmäßigkeit in der Access.log finde:

          63.74.34.9 - - [09/Dec/2001:09:14:23 +0000] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 331

          In der Error.log sieht das dann so aus:

          [Sun Dec 09 09:14:23 2001] [error] [client 63.74.34.9] Client sent malformed Host header

          Die IP ist niemals die selbe, diverse Adressräume sind vertreten...

          Mir scheint, da probiert irgendein weitverbreiteter Virus (Nimda, Code Red oder weiß-der-Teufel-was) mit einem Hack der eigentlich Mickeysofts IIS zum Einsturz bringen soll, an meinen Apache dranzukommen :)))

          Mich würd' allerdings schon interessieren, was für ein Virus das genau ist - und warum so viele Rechner davon befallen sind, Nimda hat ja eigentlich genug Staub aufgewirbelt, sodass jeder seinen Virenscanner upgedatet haben sollte...

             bei Antwort benachrichtigen
        
        Teletom Nickel85 „Nimda oder was?“
      
        09.12.2001, 00:00 Optionen
      
          Würde Dir dringend empfehlen Tiny Personal Firewall 2.0.15 zu installieren.

          Homepage:

          http://www.tinysoftware.com/home/tiny?s=4640019155099468029A0&pg=download

          Download:

          http://www.tinysoftware.com/tiny/files/apps/pf2.exe

          Beobachte danach bitte, welche Programme eine Verbindung zum Internet herstellen wollen.

          Ich habe vor kurzem Worm/BadTrans.B2 in den Dateien Kernel32.exe (Original heißt KERNEL32.DLL) und KDLL.dll festgestellt und gelöscht.

          Viel Spaß

          Teletom
        
             bei Antwort benachrichtigen
        
        diavolino Nickel85 „Nimda oder was?“
      
        09.12.2001, 00:00 Optionen
      
          Was ich an deiner stelle tun würde, ist dein freigegebenes verzeichniss C:/web/html auf "nur lesen" zu beschränken,

          falls du mit win2000 arbeitest lösche deine freigaben.

          kannst es mit "net share" kontrollieren oder

          mit net share "freigabename" /delete löschen

          wenn irgedwie möglich die IP zu wechseln (hab keine ahnung von DSL)
        
             bei Antwort benachrichtigen
        
        EtePetete Nickel85 „Nimda oder was?“
      
        11.12.2001, 00:00 Optionen
      
          ich habe vor kurzem das selbe gelesen.. PC INTERN. es war die rede vom wurm namens code red. abhilfe schafft da ein patch von microsoft.

          aber das bezog sich auf den iis.

          aber vierenscanner und firewall sollten eigentlich zumindest den übeltäter ob nun intern oder extern finden.
        
             bei Antwort benachrichtigen
        
        Nickel85 Nachtrag zu: „Nimda oder was?“
      
        11.12.2001, 00:00 Optionen
      
          Erstens:

          Port 80 MUSS offen sein, sonst läuft mein Apache Web-Server net.

          Firewall ist auch eine installiert (Atguard)

          Zweitens:

          Das ist kein Windows-Share (so blöd bin ich nicht *g*) sondern das Root-Dir von Apache.

          @EtePetete: Thx, genau das wollte ich wissen - Code Red also... hm... ich weiß, warum ich den IIS nicht benutze sondern Apache :)))
        
             bei Antwort benachrichtigen