[Pluto-security] Strani File Log

Claudio (Sekko) linux@roma2.infn.it
Fri, 17 May 2002 14:00:11 +0200


Alle 13:46, venerd́ 17 maggio 2002, Beppe ha scritto:
> Ciao,
>
> oggi spulciando fra i log file di Apache ho trovato dei file log che
> non mi tronano
>
> xxx.xxx.xxx.xxx - - [12/Apr/2002:20:15:48 +0200] "GET
> /default.ida?NNNN...........NNNNNN%u9090%uHTTP/1.0" 400 344 "-" "-"
> (l'ho accorciata ma sara lunga almeno 400 caratteri)
> xx.xxx.xxx.xx - - [13/Apr/2002:08:18:54 +0200] "GET
> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 310 "-" "-"
> xxx.xxx.xxx.xxx - - [13/Apr/2002:08:18:54 +0200] "GET
> /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 310 "-" "-"
> xx.xxx.xxx.xx - - [13/Apr/2002:08:18:55 +0200] "GET
> /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 324 "-" "-"
>
> Ecco alcune righe.
> Gli indirizzi Ip non sono indirizzi appartenenti alla rete.
> A parte il fatto che Apache l'avro' usato si e no 1 volta e per 10 min. ma
> che vogliono dire ????? avro' un centinaio di righe coś.

Trattasi di noto virus "Nimbda", uscito un annetto fa se non ricordo male.
Parte da macchine windows (ovviamente) e cerca di installarsi nei server www 
che trova nella LAN, al fine di riprodursi via http!
In pratica la macchina xxx.xxx.xxx.xxx ha Nimbda... Auguri! ;p

	Claudio

-- 
Remote System is: LINUX Mandrake
PublicKey @ http://cdc.roma2.infn.it/claudio/privacy/pubkey.txt
KeyID: 87AE0EE3