看看此Apache访问日志，系统有危险吗？

topyn · 发表于 2003-7-12 09:57:00

我的Apache访问日志有下列信息：
192.168.0.1 - - [23/Jun/2003:09:57:41 + 0800] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 326 "-" "-"

192.168.0.1 - - [23/Jun/2003:09:58:41 + 0800] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 324 "-" "-"

192.168.0.1 - - [23/Jun/2003:09:59:41 + 0800] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 334 "-" "-"

还有一些类似的条目，帮忙解释一下这些日志，访问者有什么企图？（ip我改了）

-------------------------
这是linux安全的问题，没有专题，只好放在这里，理解~~~~

7dehao · 发表于 2003-7-12 15:06:04

网络内部192.168.0.1机器有病毒。

aly · 发表于 2003-7-13 02:21:58

如何判断的啊，我的apache日志也是这样的啊。

wlj · 发表于 2003-7-13 10:31:13

通常是CodeRed及其变种。
http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=15

whlvme · 发表于 2003-7-13 12:50:38

这些攻击是病毒进行的，而且专门针对IIS。使用Apache完全可以放心，看到404了吧，就是说病毒找错门了。我有个朋友原来使用IIS被Nimda攻击后，就再也不用IIS,而是用Apache取而代之了。

whlvme · 发表于 2003-7-13 12:53:11

[quote:529b12d381="aly"]如何判断的啊，我的apache日志也是这样的啊。[/quote]
GET /scripts/root.exe?/c+dir HTTP/1.0
这是请求的地址，是利用IIS漏洞攻击常用的方法,后面的404代表请求的资源找不到。

topyn · 发表于 2003-7-13 22:07:23

谢谢大家，我明白了。

		自动登录	找回密码
密码			注册