Gjest do ri-an Skrevet 16. august 2002 #1 Del Skrevet 16. august 2002 Nå er det helg og da pleier man å dra på tur Noen foretrekker skog og mark, mens de mer hulbrystede av oss gjerne går tur i serverloggen. Serveren det er snakk om har en hyggelig beliggenhet inne på kottet mitt, og har vært en offentlig tilgjengelig webserver i snart to år. Vi gikk en tur på stien... *plystre*... Det første vi ser er dette, som er en helt vanlig forespørsel etter en side. Den består jo egentlig av flere forespørsler, siden den består av både bilder og html, samt noen scripts: 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/index.boom HTTP/1.1" 200 9095 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/scripts/md5.js HTTP/1.1" 200 9675 "http://boom/dorian/webcam/index.boom" "Mozilla/4.0 (compatible; MSIE .0; Windows NT 5.1)" 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/scripts/challenge.js HTTP/1.1" 200 376 "http://boom/dorian/webcam/index.boom" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/style/doricam.css HTTP/1.1" 200 19530 "http://boom/dorian/webcam/index.boom" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/scripts/overlib.js HTTP/1.1" 200 41860 "http://boom/dorian/webcam/index.boom" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/onepx.gif HTTP/1.1" 200 43 "http://boom/dorian/webcam/index.boom" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/images/glass.gif HTTP/1.1" 200 1706 "http://boom/dorian/webcam/index.boom" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/images/logscreen.jpg HTTP/1.1" 200 21339 "http://boom/dorian/webcam/index.boom" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/bg2login.swf HTTP/1.1" 200 300 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/s_biggrin.gif HTTP/1.1" 200 105 "http://boom/dorian/webcam/index.boom" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 192.168.0.6 - - [16/Aug/2002:13:40:53 +0200] "GET /dorian/webcam/bg2loginbg.swf HTTP/1.1" 200 408 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" Tamtidam.... ikke så spennende, nei (men nyttig) Neste vi møter på er en CodeRed-forespørsel (CodeRed er et virus på utkikk etter windowsbaserte servere - vi kjører Linux...): [sun Dec 2 08:53:21 2001] [error] [client 217.227.159.190] File does not exist: /web/boomdesign/MSADC/root.exe [sun Dec 2 08:53:22 2001] [error] [client 217.227.159.190] File does not exist: /web/boomdesign/scripts/..%5c../winnt/system32/cmd.exe [sun Dec 2 08:53:22 2001] [error] [client 217.227.159.190] File does not exist: /web/boomdesign/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [sun Dec 2 08:53:22 2001] [error] [client 217.227.159.190] File does not exist: /web/boomdesign/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [sun Dec 2 08:53:23 2001] [error] [client 217.227.159.190] File does not exist: /web/boomdesign/msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe [sun Dec 2 08:53:23 2001] [error] [client 217.227.159.190] File does not exist: /web/boomdesign/scripts/..Á../winnt/system32/cmd.exe [sun Dec 2 08:53:24 2001] [error] [client 217.227.159.190] File does not exist: /web/boomdesign/scripts/..À¯../winnt/system32/cmd.exe [sun Dec 2 08:53:24 2001] [error] [client 217.227.159.190] File does not exist: /web/boomdesign/scripts/..Áœ../winnt/system32/cmd.exe [sun Dec 2 08:53:25 2001] [error] [client 217.227.159.190] File does not exist: /web/boomdesign/scripts/..%5c../winnt/system32/cmd.exe [sun Dec 2 08:53:25 2001] [error] [client 217.227.159.190] File does not exist: /web/boomdesign/scripts/..%2f../winnt/system32/cmd.exe Ganske frekt hvordan det prøver å ../ seg ut av webkatalogen og inn til windows... Det kryr av disse virusene, som er autospredende, og loggen er full av slike feilmeldinger. En kjapp telling gir dette resultatet: [root@boom boomdesign.no]# more error | grep -c MSADC/root.exe 1262 Siden denne loggen ble startet i januar, vil det si at dette viruset har prøvd å infisere vår maskin 1262 ganger siden da... God grunn til å ikke kjøre windows som server-os dorian Lenke til kommentar Del på andre sider Flere delingsvalg…
Gjest dr.ian Skrevet 16. august 2002 #2 Del Skrevet 16. august 2002 Dette er jo en fin tur? Det neste som dukker opp er en standard feilmelding: [Thu Mar 7 16:22:02 2002] [error] [client 192.168.0.2] File does not exist: /web/boomdesign/norselight/onepx.gif.jpg Dette er jo kløne-dorian som har greid å kalle en gif for gif.jpg i en html-side Hver gang denne siden blir lastet vil den legge inn en linje i feil-loggen (som ofte vokser seg stor og svær...). Så det lønner seg å være nøye.. Så finner vi jammen meg et annet hacker-script! Næh så skummelt det er i skogen! :o Dette ser ut som det kjøres manuelt, og ikke som et virus. Har ikke sett det før. [sun Apr 14 21:39:45 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///server-info [sun Apr 14 21:39:45 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///server-status [sun Apr 14 21:39:45 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/site/eg/ [sun Apr 14 21:39:45 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/doc/ [sun Apr 14 21:39:45 2002] [error] [client 217.8.136.58] File does not exist: //public_html/ [sun Apr 14 21:39:45 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///manual/ [sun Apr 14 21:39:45 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/cgi-bin/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///carbo.ddl [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/technote/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/iisadmpwd/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/cgi-dos/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/scripts/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/mall_log_files/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/Admin_files/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/cgi-bin/a1stats/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///quote.html [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/cgi-bin/ikonboard/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/foldoc/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/cgi-bin/adcycle/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/ROADS/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/way-board/ [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///index.php [sun Apr 14 21:39:46 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///edit_image.php [sun Apr 14 22:19:23 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///server-info [sun Apr 14 22:19:23 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///server-status [sun Apr 14 22:19:23 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/site/eg/ [sun Apr 14 22:19:23 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/doc/ [sun Apr 14 22:19:23 2002] [error] [client 217.8.136.58] File does not exist: //public_html/ [sun Apr 14 22:19:23 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///manual/ [sun Apr 14 22:19:23 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/cgi-bin/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///carbo.ddl [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/technote/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/iisadmpwd/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/cgi-dos/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/scripts/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/mall_log_files/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/Admin_files/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///quote.html [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/cgi-bin/ikonboard/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/foldoc/pwd [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/cgi-bin/adcycle/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/ROADS/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/way-board/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign/cgi-bin/a1stats/ [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///index.php [sun Apr 14 22:19:24 2002] [error] [client 217.8.136.58] File does not exist: /web/boomdesign///edit_image.php Dette er jo litt mer intelligent enn codered, og sjekker server_status og server-info (eller prøver, i alle fall). Men det ser litt haphazard ut, jeg mener - way-board? Hva slags board er det? Nåja, bare fyller inn litt mer om dette almennnyttige temaet og avslutter fredagsturen med våre venner robotene: 216.250.141.186 - - [16/Aug/2002:05:35:34 +0200] "GET /gallery/gallery_art.boom HTTP/1.0" 200 9702 "-" "ah-ha.com crawler ([email protected])" 66.196.72.20 - - [16/Aug/2002:05:45:38 +0200] "GET /gallery/gallery_fun_john1.boom HTTP/1.0" 200 9644 "-" "Mozilla/5.0 (Slurp/cat; [email protected];http://www.inktomi.com/slurp.html)" Den snille og hyggelige robotene legger igjen en url eller email, de slemme legger bare igjen ip-adresse. dorian Lenke til kommentar Del på andre sider Flere delingsvalg…
Gjest dorina Skrevet 16. august 2002 #3 Del Skrevet 16. august 2002 Serverloggene det er snakk om, er combined som er apache access-log for domenet boomdesign og error som er errorlog for samme. Vi kjører Linux på sparc-arkitektur, men skal vel snart over på sunos nerdian Lenke til kommentar Del på andre sider Flere delingsvalg…
Gjest dr.ian Skrevet 16. august 2002 #4 Del Skrevet 16. august 2002 Hm. Får vel ta meg en sykkeltur i morgen, da dorian Lenke til kommentar Del på andre sider Flere delingsvalg…
Litago Skrevet 16. august 2002 #5 Del Skrevet 16. august 2002 Så er det endelig bekreftet...... Dessverre. Dorian har blitt helt nuts og trenger fullstendig ro og hvile. Det kom fire menn i hvite frakker og fraktet ham bort i en diskre hvit bil nå i kveld. Vi kan besøke ham på hvilehjemmet, men legen oppfordrer oss alle til å ikke ta opp temaer som nett, virus, servere, hardisk, programmer e.l.. Han trenger nå fullstendig ro og hvile. Det er også viktig at vi ikke mater ham med medbragte bananer eller peanøtter. Han får næringsrik og riktig mat på hvilehjemmet. Det er trist at det ble slik, men vi skjønte vel alle retningen det tok. *legger dynen medfølende rundt Dorian og lister seg bort* Lenke til kommentar Del på andre sider Flere delingsvalg…
Gjest Lea Skrevet 17. august 2002 #6 Del Skrevet 17. august 2002 Det er tydeligvis skadelig å bruke Linux... jammen glad for at jeg kjører Windows jeg! Lenke til kommentar Del på andre sider Flere delingsvalg…
Gjest do-ri-an Skrevet 17. august 2002 #7 Del Skrevet 17. august 2002 Jeg ler meg skakk! dorian-med-hvit frakk (men, det er noe rart med ermene...?) Lenke til kommentar Del på andre sider Flere delingsvalg…
Gjest dorina Skrevet 17. august 2002 #8 Del Skrevet 17. august 2002 Jeg bruker forressten også windows, men ikke på servere dorian - liker bill gates, med forbehold Lenke til kommentar Del på andre sider Flere delingsvalg…
Litago Skrevet 17. august 2002 #9 Del Skrevet 17. august 2002 Så da vennen..... Spis pillene dine nå. Sånn ja. Og svelg... Flink gutt det. Legg deg ned nå. Slapp av. Sånn ja. Bare helt rolig. Alt vil bli bra igjen. Bare slappe av. Byssan lull, koke kitelen full....... *slukker lyset og lister meg stille ut* Lenke til kommentar Del på andre sider Flere delingsvalg…
Gjest Anonymous Skrevet 17. august 2002 #10 Del Skrevet 17. august 2002 nullet@linux:~> cat vmlinuz > /dev/dsp *sprake* Nullet tenker: "skikkelig bra den vmlinuz-låta til Linus Thorvalds & The Kernal's" Nullet tenker:" bra jeg ikke er like gal som dorian" Nullet Lenke til kommentar Del på andre sider Flere delingsvalg…
Gjest Anonymous Skrevet 17. august 2002 #11 Del Skrevet 17. august 2002 Tusen takk for turen, Do-ri-an. :D Hvor tar du oss med neste gang, tro? Lenke til kommentar Del på andre sider Flere delingsvalg…
@lfa Skrevet 17. august 2002 #12 Del Skrevet 17. august 2002 :o :o :o Rundtur med guidet omvisning.... slettes ikke verst.... Lenke til kommentar Del på andre sider Flere delingsvalg…
Gjest dorina Skrevet 18. august 2002 #13 Del Skrevet 18. august 2002 Hvor neste gang... mnei, det vet jo ingen, men det er jo på søndag man skal gå på langtur - så vi får se i morgen vmlinuz ække akkurat cat'te-musikk, eller hva, Nullet? Men ok, det spraker vel hvis det kjøres som audio (aldri prøvd, faktisk ) dorian Lenke til kommentar Del på andre sider Flere delingsvalg…
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå