Linuxtrent: Re: Worm ?!?!?!
- From: MaX <max_linux2000@xxxxxxxx>
- Date: 18 Sep 2001 21:26:45 +0200
s=EC, sto ricevendo anch'io questi tentativi.... nel server di casa!!!
e non ho un dominio registrato... mi sa che questo worm sta scannando
tutta internet... prevedo rallentamenti nella prossime ore. :-(
qui una parte del log
-----------------------------------------------------------------
62.82.68.1xx - - [18/Sep/2001:21:19:13 +0200] "GET
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232
62.82.68.1xx - - [18/Sep/2001:21:19:18 +0200] "GET
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 232
ciao,
MaX
On Tue, 2001-09-18 at 21:06, Flavio Stanchina wrote:
>=20
> On Tuesday 18 September 2001 20:24, Daniele Nicolodi wrote:
> > E` tutta la sera che ho accessi HTTP con richieste si pagine assurde
> > da macchine diverse, sempre uguali e con stringe del tipo c: windows
> > .exe winnt .dll mescolate in mezzo.
> >
> > Che sia un'altro worm per IIS ??
>=20
> Ma guarda, anche i miei log sono pieni di schifezze. Queste
> "GET /MSADC/root.exe?/c+dir HTTP/1.0"
>=20
> sono tentativi di entrare dalla backdoor installata dal Code Red II, se=20
> non vado errato, ma il resto sembrerebbe proprio un massiccio tentativo d=
i=20
> exploit. Forse =E8 quel virus-che-non-=E8-un-virus di cui ho sentito parl=
are:=20
> praticamente usa alcuni exploit noti di IIS per installarsi, patchare la=20
> macchina contro gli stessi e poi scannare altre macchine.
>=20
> [30 secondi dopo]
> Wow, probabilmente =E8 questo nuovo virus:
> http://www.theregister.co.uk/content/56/21734.html
>=20
_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com
--
PROSSIMA ASSEMBLEA: venerdi` 28 settembre 2001 20:30 a Madrano di Pergine.
Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx
Other related posts: