linux-l: Wuermchen oder?

[Jan-Benedict Glaw]

On Tue, 2001-10-09 22:25:57 +0200, Dr. Bernd Freistedt <bernd at bfrei.net>
wrote in message <200110092025.f99KPwQ03330 at obelix.bfrei.net>:
> Kennt jemand folgende Schleimspur im Apache logfile:
> 
> 212.234.52.103 - - [09/Oct/2001:22:12:50 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 587 "-" "-"
> 212.234.52.103 - - [09/Oct/2001:22:12:51 +0200] "GET
> /MSADC/root.exe?/c+dir HTTP/1.0" 404 587 "-" "-"
> 212.234.52.103 - - [09/Oct/2001:22:12:52 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 587 "-" "-"
> 212.234.52.103 - - [09/Oct/2001:22:12:52 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 587 "-" "-"
> 212.234.52.103 - - [09/Oct/2001:22:12:53 +0200] "GET
> /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 587 "-" "-"
  ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Nee, das ist IMHO ein Trittbrettfahrer, der sich da händisch an
Deinem Rechner versucht. Muß das nicht eigentlich cmd32.exe heißen?
Naja, der letzte Aufruf wäre jedenfalls durchgegangen. Das
klappt wirklich gut mit M$ IIS:-)

Ich bin nebenbei noch dabei, 'nen tail so zu modifizieren, daß
er sowas aufspürt (sozusagen ein "tailgrep -f" gekreuzt mit
"find -exec ... \;" und dann verwürfelt mit den allgemein gängigen
Angtiffen, die es zulassen, ein shell-Kommando abzusetzen,
das den Rechner dann herunterfahren soll... Das macht nichts
kaputt und sorgt zudem dafür, daß solche gefährlichen Rechner
ersteinmal außer Betrieb gezogen werden.

Einige logfiles werden bei mit regelmäßig mit dem Müll
regelrecht zugepflastert. Kommt schon mal vor, daß einige
1000 bis 10000 Zeilen nur von dem Ramsch stammen...

MfG, JBG

-- 
Jan-Benedict Glaw . jbglaw at lug-owl.de . +49-172-7608481