linux-l: Apache-Log - - - sonderbar
Steffen Dettmer
steffen at dett.de
Fr Aug 3 16:08:11 CEST 2001
* Dr. Bernd Freistedt wrote on Thu, Aug 02, 2001 at 21:37 +0200:
> ---Anselm Hinderling (linux-l at mlists.in-berlin.de) wrote on
> Thu, 2 Aug 2001 20:30:41 +0200
>
> >> 211.234.52.36 - - [02/Aug/2001:19:00:15 +0200] "GET
> >> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
>
> Nun frage ich mich, ob der Versuch dieses remote buffer overflow
> eine Routine von CodeRed ist.
Sieht wohl sehr danach aus. Kann aber auch ein Scanner sein, wer
weiß, Details ohne Ende finden sich auf
http://www.security-focus.com.
> Wenn dem so ist, waren es also 46 Versuche der Infektion.
Mehr nicht? Du Glücklicher:
zcat access_log_all-20010803.gz|grep default.ida|wc -l
1378
> Das bedeutet aber auch, dass nix groeberes passiert, weil bei
> erfolgter Infektion alle weiteren unterbleiben.
Woher soll ein Scanner wissen, ob der infiziert ist? IIRC ist
eines der Probleme von CodeRed, daß Maschinen mehrfach befallen
werden, solange die CPU Zeit reicht :)
Aber vermutlich setzt Du sowieso kein IIS ein, oder? Das log
sieht jedenfalls nach Apache aus.
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
Mehr Informationen über die Mailingliste linux-l