Warnung: file_put_contents(/home/www/web1/html/php_dev/test.txt) [function.file-put-contents]: failed to open stream: Permission denied in /home/www/web1/html/php_dev/sys/lib.activity.php (Zeile 58)
seltsame verzeichnisabfragen [Archiv] - PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr

- Ad -
php-resource



PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen :
seltsame verzeichnisabfragen

 
schmalle
16-04-2002, 09:40 
 
hmm, bei der auswertung meiner logdaten stellte ich schon oft fest, dass ich komische verzeichnisabfragen auf meinem webspace habe. diese werden immer ( logischer weise ) unter nicht gefundenene seiten aufgeführt. z.b

http:///scripts/..%2f../winnt/system32/cmd.exe
oder auch:
http:///scripts/root.exe

wo kommen die her???? vor allem warum WinNT??? das ist ne linux kiste .... sind das versuchte hacks? drehen die robots durch? wer kennt das?

thx
 
bohni
16-04-2002, 12:28 
 
Ich denke, das sind Hacks. da versucht jemand auf die Konsole zu kommen (cmd.exe).
Scheinen aber Pfuscher zu sein, da gewöhnlicherweise der IIS unter WinNT nicht als root läuft und man somit eh keine Rechte auf der Konsole hat. Unter Linux isses sowieso zwecklos.
 
JoelH
16-04-2002, 14:35 
 
seh ich genauso, da versuchen Scriptkids anhand von 'Tuts' zugriff zu bekommen. Einzig lernen kannst du daraus, benutze Linux und 95% Scriptkids sind aussen vor.
 
schmalle
16-04-2002, 14:40 
 
merci 4 info. aber wie gesagt der server rennt unter linux ...
 
Titus
16-04-2002, 16:32 
 
http:///scripts/..%2f../winnt/system32/cmd.exe
Hihi ... kommt mir irgendwie bekannt vor.
Abgesehen davon, dass die Server-Logs zugemüllt werden, ist das aber harmlos.
Fragt sich nur, ob man IPs die einen entsprechenden Aufruf ausführen automatisch für ne Weile gesperrt werden können - eben damit die Logs nicht verstopft werden?!
 
schmalle
16-04-2002, 16:35 
 
ich denke schon, dass man die sperren kann. ist aber wohl zwecklos. denn 1. sind die immer über killer-proxies unterwegs, die alle 5 min ne neue IP haben, und ausserdem liegen die logs nicht auf meinem webspace :)
 
Theiso
02-01-2004, 19:25 
 
jo unter linux hat das kein sinn aber wenn du nen winnt mit IIS am laufen hättest würde es den was bringen. Denn somit kommen die auf dein cmd.exe mit einem befehl wird die winnt\system32\cmd.exe irgendwo anders hinein kopiert z.B bei c:\cmd.exe, so nun kann man cmd sehr leich benutzen..die werden wohl versuchen dann über tftp.exe paar datein auf dein Pc zu schleusen. Tja... rest ist wohl zu denken.


Aber wie gesagt unter Linux hat es kein Sinn.

Bye
 
TBT
02-01-2004, 19:32 
 
das sind keine Scriptkiddies,
das ist dieserr Red... Virus, der die IIS Server angreift.
Der probiert einfach deinen Rechner durch, ob da ein
angreifbarer IIS läuft
 
Abraxax
02-01-2004, 20:47 
 
Original geschrieben von schmalle
[...] aber wie gesagt der server rennt unter linux ... dann hast du ja nichts zu befürchten.... ;)
 
Hopka
02-01-2004, 20:54 
 
Diese Einträge hab ich sogar auf meinem localhost hier.

Aber gefährlich ist das nur, wenn man einen IIS hat, der nicht gepatcht ist.
 
wahsaga
03-01-2004, 14:52 
 
Original geschrieben von TBT
das sind keine Scriptkiddies,
das ist dieserr Red... Virus, der die IIS Server angreift.
ja, genau.

nimda/code red ist dafür verantwortlich.

da kann man mal sehen, wie wenig manche admins zu patchen scheinen, wenn der immer noch durch's netz geistert!

Alle Zeitangaben in WEZ +2. Es ist jetzt 20:24 Uhr.