Je hebt een klacht over de onderstaande posting:
Zijn gewoon servers die met code red geinfecteerd zij. Een server die geinfecteerd is probeert andere servers te infecteren door te scannen op IIS servers die niet gepatched zijn. Vandaar de meldingen in de logfile. Voor de oplettende lezertjes: Het gaat NIET om CODE RED of NIMDA besmettingen. Zie begin van thread... En mijn logfiles heb ik obviously ~goed~ gelezen lijkt mij, als ik de volgende varianten tegenkom: "GET scripts/.%252e/.%252e/winnt/system32/cmd.exe?/c+dir+c: HTTP/1.1" 404 336 "-" "-" "HEAD /scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c: HTTP/1.1" 301 0 "-" "Mozilla/5.0" "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c: HTTP/1.1" 404 336 "-" "-" Ik heb Code Red of Nimda nog nooit een HEAD request zien doen, dat is 1. Noch Nimda noch Code Red gebruiken een 'useragent' deze soms wel, dat is 2. De slash achter de dir+c: idem, dat is 3. Maar anyway, mijn vraag is al beantwoord; het is een scan-toolie en geen nieuwe variant..
Beschrijf je klacht (Optioneel):