Hallo,
Ich habe mir jetzt wieder mal die Logfiles des Apache (Linux) angesehen und dabei festgestellt, dass sich die Code Red Angriffe häufen
Zur Information:
Im Logfile findet man dann
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0"
Und fast immer von nicht existenten Computern
Von 24.8. bis heute (26.8.) immerhin 958 Versuche. In der Woche davor 3542. (Seit Anfang August: 5369 Angriffe)
Hier das Log über 2 Versuche:
Zwecks leichterer Lesbarkeit habe ich die Logfile-Zeilen getrennt.
-------------------------------cut---------------------------------
194.87.125.18 - - [26/Aug/2001:09:49:20 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 404 205
217.80.29.205 - - [26/Aug/2001:09:49:51 +0200] "GET http://www.sextrade.de/cgi/xcshow.cgi?ac=cam6live;pg=2 HTTP/1.0" 404 208
217.80.29.205 - - [26/Aug/2001:09:51:50 +0200] "GET http://www.adultlink.de/cgi-bin/xcshow.cgi?camsexlive.00 HTTP/1.0" 404 212
194.126.32.2 - - [26/Aug/2001:09:53:21 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 404 205
217.80.29.205 - - [26/Aug/2001:09:56:06 +0200] "GET http://www.megatipp.de/cgi-bin/xcshow.cgi?donner.0 HTTP/1.0" 404 212
217.80.29.205 - - [26/Aug/2001:09:57:05 +0200] "GET http://www.sextrade.de/cgi/xcshow.cgi?ac=ReneBln;pg=0 HTTP/1.0" 404 208
217.80.29.205 - - [26/Aug/2001:09:57:59 +0200] "GET http://www.webnuke.net/cgi-bin/xcshow.cgi?camsexlive.00 HTTP/1.0" 404 212
-------------------------------cut---------------------------------
Aufgefallen ist mir vorerst nur der hohe Netzwerkverkehr auf dem Router
und dann auf den Netzwerkkarten nach aussen.
Abhilfe:
eine leere default.ida ins Webroot und die Belastung ist geringer.
Mfg,
Erich Schneeweiss
--
* Erich Schneeweiss mailto:eschneew@paedak-krems.ac.at
* Administrator of paedak-krems.ac.at
* PA Krems Dr. Gschmeidler Str. 22-30 A - 3500 Krems
* Tel: +43-2732-83591 Fax: +43-2732-83591-71
--
Kustodenforum: Liste fuer den Meinungsaustausch von Kustoden
an osterreichischen Schulen.
Diese Liste wird vom Computer Communications Club (http://www.ccc.at) betrieben. Um sich aus der Liste austragen zu lassen, senden Sie ein e-mail an majordomo@ccc.at mit dem Befehl "unsubscribe kustodenforum" im Nachrichtentext.