[linux] Re: sappige wormen

Daniel C. von Asmuth asmuth op bakunin.xs4all.nl
Ma Mrt 14 12:37:25 CET 2005


Aldus schreef paai op Mon, Mar 14, 2005 at 08:11:26AM +0100:
> Ik wil de studenten weer eens laten zien wat voor inbraakpogingen
> via de logfiles zichtbaar te maken zijn. Een paar jaar geleden
> hoefde ik alleen maar 'grep NNN < access_log' in te typen voor een
> huiveringwekkende lijst code red wormen; wat is tegenwoordig een
> veel voorkomende string in de apache of system logfiles die op
> inbraakpogingen e.d. wijst?

Echt veel zorgwekkends zie ik de laatste tijd niet:

"GET /scripts/nsiislog.dll HTTP/1.1"
"GET http://verify.qq.com/getimage?0.6388233159288699 HTTP/1.1"
"GET /awstats/awstats.pl HTTP/1.1"
"CONNECT 193.109.122.67:6668 HTTP/1.0" 
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX \
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX \
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX \
XXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090 \
%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078 \
%u0000%u00=a HTTP/1.0" 
"POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1"
"GET /forum/ HTTP/1.1" 
"GET /phpBB/ HTTP/1.1"
"GET /board/ HTTP/1.1"
"GET /phpBB2/ HTTP/1.1"
"GET /msgboard/ HTTP/1.1"
"GET /portal/ HTTP/1.1"

Met vriendelijke groet,


Daniel von Asmuth




	



More information about the Linux mailing list