Hi Silvio,
On Thu, Nov 15, 2001 at 14:23:50 +0100, Silvio Schmidt wrote:
Nov 15 14:01:50 wgdieleude kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.225.220.88 DST=217.225.253.74 LEN=52 TOS=0x08 PREC=0x00 TTL=124 ID=18268 DF PROTO=TCP SPT=3144 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405840103030001010402)
[...]
217.225.220.88 - - [15/Nov/2001:14:01:16 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
[...]
Fuer mich sieht das so aus, als wuerde jemand probieren ob auf dem Server WinNT laeuft und dort irgendwelche Kommandos ausfuehren will. Liege ich damit Richtig?
Jepp. Muss allerdings kein haendisch gestarteter Angriff sein. Wahrscheinlich ist der angreifende Rechner ein mit nimda infizierter Windoof/IIS-Rechner. Was den Apachen natuerlich wenig stoert ;)
bye, Chris