Tauber, Mathias Mailing wrote:
> Servus mal wieder,
>
> am Freitag Abend habe ich gemerkt, dass mein Apache Server
> abgeraucht war...
>
>
> Ich habe folgende Einträge im Logfile des Apache gefunden:
>
> <snip>
> 195.197.242.141 - - [12/Jul/2004:14:13:29 +0200] "CONNECT 1.3.3.7:1337 HTTP/1.0" 405 231
> ...
> 68.74.156.174 - - [13/Jul/2004:07:54:37 +0200] "GET http://www.yahoo.com/ HTTP/1.1" 200 4110
> ...
> 217.159.169.238 - - [13/Jul/2004:18:25:33 +0200] "SEARCH
[snip]
> > Kann mir jemand was zu diesen Einträgen sagen? Ich habe > keinen Schimmer was auf dem Server wirklich passiert ist! > > Ich mache mir jetzt natürlich Sorgen, ob da eventuell ein > Root-Kit installiert wurde, oder ähnliches. Ich habe bisher > nichts ungewöhnliches entdecken können. Keine weiteren > Ports offen, chkrootkit findet auch nichts (sofern man > netstat und den anderen Tools noch glauben darf). > > Danke schonmal für Eure Hilfe. > > > Grüße > Mathias >
Das kommt von Virenverseuchten IIS Servern die nach neuen Opfern suchen.
(man möge mich korrigieren, falls ich da falsch liege). Man kann m.E. nichts dagegen machen ... :-(
Gruss Thomas
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)