Log-files

Computer: Software & Programmierung UNIX & Linux
#1

Hallo,
kann mir jemand erklaeren, was diese Zeilen bedeuten ???
in httpd.access_log:

156.17.237.15 - - [11/Feb/2002:10:02:29 +0000] „GET /scripts/…%252f…/winnt/system32/cmd.exe?/c+dir HTTP/1.0“ 404 310
200.42.43.202 - - [11/Feb/2002:18:02:49 +0000] „GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9
090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0“ 404 283

und in /var/log/messages

Feb 4 18:24:51 os18f – MARK –
Feb 4 18:30:38 os18f wu.ftpd[631]: connect from 62.212.112.197
Feb 4 18:30:38 os18f wu.ftpd[631]: error: cannot execute /usr/sbin/wu.ftpd: No such file or directory
Feb 4 18:44:51 os18f – MARK –
Feb 6 15:04:52 os18f – MARK –
Feb 6 15:24:52 os18f – MARK –
Feb 6 18:00:56 os18f wu.ftpd[835]: connect from [email protected]
Feb 6 18:00:56 os18f wu.ftpd[835]: error: cannot execute /usr/sbin/wu.ftpd: No such file or directory

DANKE fuer jede ‚HILFE‘

Arthur

#2

kann mir jemand erklaeren, was diese Zeilen bedeuten ???

Vermutlich.

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

das ist Code Red oder irgendsoeein Derivat. Der Anfragende Rechner ist mit dem Microsoft-IIS infiziert. Für einen Apache ist das zwar nervig (Traffic und auch ‚load‘, aber nicht wirklich schlimm.

Feb 6 18:00:56 os18f wu.ftpd[835]: error: cannot execute
/usr/sbin/wu.ftpd: No such file or directory

Kenne ich nicht. Ich würde mal Schlimmstes vermuten, da der wu-ftpd für seine Sicherheitslücken berüchtigt ist.

Tripwire hast Du nicht zuvor laufen lassen?

Sebastian

#3

Hi,
ein erstes Danke, auch wenn ich mir eine
ausfuehrlichere Antwort gewuenscht haette.
tribwire hab ich nicht laufen lassen…
bringts noch was, wenn ich es jetzt tue?
und was sind die ‚—Mark‘
eintraege im log-file alle 20 minuten???

Ciao

#4

Hi,
ein erstes Danke, auch wenn ich mir eine
ausfuehrlichere Antwort gewuenscht haette.

Hmm…
[Zensiert]

tribwire hab ich nicht laufen lassen…
bringts noch was, wenn ich es jetzt tue?

lies dir doch mal durch was tripewire ist und macht und du wirst sehen das es jetzt keinen Sinn mehr macht.

und was sind die ‚—Mark‘
eintraege im log-file alle 20 minuten???

man syslogd (/mark) dauer bis zum finden der info 2 sek
----snip
-m interval
The syslogd logs a mark timestamp regularly. The
default interval between two – MARK – lines is 20
minutes. This can be changed with this option.
Setting the interval to zero turns it off entirely.

-----snap

polar

#5

man syslogd (/mark) dauer bis zum finden der info 2 sek

mit

rm /etc/inetd.conf

wäre dem Experten sicher auch geholfen.

Se „besser ist das - und schön Neustarten“ bastian

#6

…lernen wir daraus?

mit

rm /etc/inetd.conf

wäre dem Experten sicher
auch geholfen.

  1. Was passiert beim reboot ohne die /etc/inetd.conf.
  2. Was mach ich, wenn die /etc/inetd.conf fehlt.
  3. Möglicherweise doch nicht alles ausführen, was geschrieben steht.
  4. Möglicherweise noch vieles mehr.

SCNR,
Herbert

#7
  1. Was passiert beim reboot ohne die /etc/inetd.conf.

Eine Sicherheitslücke ist eliminiert (sofern der Wu-FTPd über den inetd gestartet wird…)

  1. Was mach ich, wenn die /etc/inetd.conf fehlt.

Ausprobieren. Sofern Du am Rechner sitzt, kann man das durchaus machen.

  1. Möglicherweise doch nicht alles ausführen, was geschrieben
    steht.

Nö.

  1. Möglicherweise noch vieles mehr.

man pages lesen? Google nutzen? Hey, Kids, das ist unk3wl!

Sebastian

#8
  1. Was passiert beim reboot ohne die /etc/inetd.conf.

Eine Sicherheitslücke ist eliminiert (sofern der Wu-FTPd über
den inetd gestartet wird…)

eher mindestens zwei grosse, telnetd war sicher auch noch an.

  1. Was mach ich, wenn die /etc/inetd.conf fehlt.

Ausprobieren. Sofern Du am Rechner sitzt, kann man das
durchaus machen.

am besten vorher den sshd starten lassen…

und ja, lesen bildet…

joachim

#9
  1. Was mach ich, wenn die /etc/inetd.conf fehlt.

Ausprobieren. Sofern Du am Rechner sitzt, kann man das
durchaus machen.

am besten vorher den sshd starten lassen…

Ach was.

Mit einem alten Sendmail hast Du noch eine weitere Alternative, das System remote zu -…- ähhh… administrieren.

Sebastian

#10

Ach was.

Mit einem alten Sendmail hast Du noch eine weitere
Alternative, das System remote zu -…- ähhh…
administrieren.

jetzt verrat doch nicht gleich alle tricks!

joachim