Illegal Request. HELP!

  • Hallo zusammen,


    sitz grad da und arbeite am Laptop, nebenher läuft der VDR. bin auf konsole1 als root eingeloggt, der Bildschirm ist an, aber ich hab schon seit langem nixmehr eingegeben. der letzte befehl den ich ausgeführt habe war "df" vor etwa 20 minuten.


    auf dem vdr ist nebenbei noch ein win98 installiert. wenn der vdr läuft läuft auch der vdradmin, der über ne dyndns adresse weltweit per internet erreichbar ist.


    auf einmal erscheint einfach so hinter meinem prompt:


    Code
    video:~ # Illegal Request. HELP!
    GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir


    als erstes hab ich natürlich den vdr vom netz genommen, man weiss ja nie, was da nicht alles böses im internet rumschwirrt ... hab aber trotzdem keine ahnung, was das sein könnte und was mir mein vdr damit sagen wollte. hat von euch vielleicht jemand ne idee?


    mfg
    schelli :sonne

    Scenic D6 Umbau; Asus-P3B-F; Celeron 633Mhz; 256MB; 360GB; DVD+-RW; DD5.1; GLCD 240x128; 1x DVB-S Rev. 1.6

  • Was für Programme hattest du denn vorher
    von der Shell aus gestartet(und laufen noch) , die diese Ausgabe
    aus stdout geschrieben haben können?




    Gruß,
    Henning

    --==Mein neuer VDR läuft: DH102, Athlon64 X2 4850e, 1TB Samsung, Asus M2A-VM HDMI, 2 GB DDR2-800, 80+ Netzteil, TT DVB-S 1.6-4MB & Skystar II==--

    --==VDR 1.6.0-2, HgDVB, ACPI Wakeup, xineliboutput und graphtft auf X mit xf86-video-ati (DualHead / XVideo / DRI) ausm GIT auf Debian Lenny mit Kernel 2.6.28-rc6 ==--

  • nichts ...


    vdr hochgefahren, login, dann ein "ls" gleich danach das "df", dann 20 minuten nix gemacht und auf einmal ist die ausgabe auf dem bildschirm erschienen:rolleyes:


    schelli :sonne

    Scenic D6 Umbau; Asus-P3B-F; Celeron 633Mhz; 256MB; 360GB; DVD+-RW; DD5.1; GLCD 240x128; 1x DVB-S Rev. 1.6

  • Kann dir leider auch nicht helfen.


    Würde aber tortzdem empfehlen den VDRAdmin nicht ins I-Net zu öffnen. Ist nicht gerade sicher !

    Registered VDR User #841
    P4 1.7, 256 MB Ram, 200 GB Samsung, TT DVB-C 2.1, TT DVB-C 1500, VDR Extension Board, 12.1" TFT, Pearl Mod-It Gehäuse  
    Suse 10, Kernel 2.6.13-15.11-default, VDR 1.4.2-BP

  • das wird jetzt eh wieder geändert, solang ich keine vorlesungen habe.
    war halt während des semester praktisch. einfach mal zuhause angerufen und jemanden beauftragt, den rechner hochzufahren, ne minute später konnt ich dann aus der uni raus selbst den vdr programmieren...


    schelli :sonne

    Scenic D6 Umbau; Asus-P3B-F; Celeron 633Mhz; 256MB; 360GB; DVD+-RW; DD5.1; GLCD 240x128; 1x DVB-S Rev. 1.6

  • Man kann die Verbindung aber prima über SSH tunneln.


    Das sollte dann erheblich sicherer sein. Das mit dem anrufen kann einem überigens WOL ersparen.

    Registered VDR User #841
    P4 1.7, 256 MB Ram, 200 GB Samsung, TT DVB-C 2.1, TT DVB-C 1500, VDR Extension Board, 12.1" TFT, Pearl Mod-It Gehäuse  
    Suse 10, Kernel 2.6.13-15.11-default, VDR 1.4.2-BP

    Edited once, last by poetter ().

  • Quote

    Original von poetter
    Man kann die Verbindung aber prima über SSH tunneln.


    war nur ne notlösung von weihnachten bis jetzt und da der vdr ja nur bei bedarf an war, war das scho ok. wenn ich dass dauerhaft mache, müsste ich mir so einen ssh-tunnel vielleicht doch mal anschauen.


    als nächstes muss jetzt erstmal das vdradmin dicht gemacht werden, sonst ist der vdr ja immer erreichbar, wenn ich mein ganzen aufnahmen anschaue.


    Quote

    Das mit dem anrufen kann einem überigens WOL ersparen.


    ja, so wars auch geplant. hab ne alte 3com wol karte hier rumfliegen, aber entweder mag linux die nicht, oder die ist wirklich kaputt (hab ich geschenkt gekriegt: "da schau ma, vielleicht geht se noch, vielleicht auch net...")


    ...


    aber zum übersprünglichen thema hat niemand ne idee?
    was kann so nen aufruf verursachen? nochdazu irgendwas mit winnt, obwohl ja gar nix mit nt auf dem rechner ist?!


    schelli :sonne

    Scenic D6 Umbau; Asus-P3B-F; Celeron 633Mhz; 256MB; 360GB; DVD+-RW; DD5.1; GLCD 240x128; 1x DVB-S Rev. 1.6

  • Durchsuch doch mal die VDRAdmin-"Sourcen" nach
    Illagel Request HELP! oder wie das hieß.
    Dann sehn wir ob VDRAdmin das Problem rausschiebt.


    Steht im Logfile dazu vielleicht auch noch was?



    Gruß,
    Henning

    --==Mein neuer VDR läuft: DH102, Athlon64 X2 4850e, 1TB Samsung, Asus M2A-VM HDMI, 2 GB DDR2-800, 80+ Netzteil, TT DVB-S 1.6-4MB & Skystar II==--

    --==VDR 1.6.0-2, HgDVB, ACPI Wakeup, xineliboutput und graphtft auf X mit xf86-video-ati (DualHead / XVideo / DRI) ausm GIT auf Debian Lenny mit Kernel 2.6.28-rc6 ==--

  • ../winnt/system32/cmd.exe


    Nanu? Ne Windows-NT Einagbeaufforderung am liniux-PC?


    Da hat wohl n böser Hacker was versucht. *gg*

  • Ja das sieht sehr danach aus,
    aus wollt jemand die Freigaben überprüfen
    bzw. umgehen.

    --==Mein neuer VDR läuft: DH102, Athlon64 X2 4850e, 1TB Samsung, Asus M2A-VM HDMI, 2 GB DDR2-800, 80+ Netzteil, TT DVB-S 1.6-4MB & Skystar II==--

    --==VDR 1.6.0-2, HgDVB, ACPI Wakeup, xineliboutput und graphtft auf X mit xf86-video-ati (DualHead / XVideo / DRI) ausm GIT auf Debian Lenny mit Kernel 2.6.28-rc6 ==--

  • also das "Illegal Request. HELP!" hab ich in den sourcen von vdradmin gefunden, scheint wohl wirklich der übeltäter zu sein.


    und das
    "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir"
    scheint dann wohl diese illegale anweisung sein, mit der vdradmin nichts anfangen kann ... scheint ja auch ehr auf ein windows-system zu zielen *g*


    naja und freund google ist da sogar noch etwas auskunftfreudiger (warum poste ich eigentlich hier, bevor ich den :google anschmeiss??)


    scheint wohl "nur" ein böser nimda oder code-red virus zu sein ...
    http://www.webmasterworld.com/forum39/734.htm


    besten dank für alle antworten :]
    schelli :sonne

    Scenic D6 Umbau; Asus-P3B-F; Celeron 633Mhz; 256MB; 360GB; DVD+-RW; DD5.1; GLCD 240x128; 1x DVB-S Rev. 1.6

    Edited 3 times, last by schelli ().

  • Hi,


    don´t worry too much.


    Mein Webserver-Log ist voll von diesem Zeug und anderen Ergüssen von Script-Kiddies, Port-Scans und Würmer-Kram. So what?



    Sind etwa 2/3 des Logs, die so aussehen. Und das, ohne dass die IP-Adresse oder der Hostname irgendwie nach draußen bekannt wären. Aber iss mir wurscht. Wenn ich mal wieder ein bisschen Zeit hab (also so in 15 Jahren vielleicht) bastel ich mir eine schöne Teergrube, und während der "böse Hacker" darin festpappt hole ich zum Gegenschlag aus, harharhar....



    Ciao
    Jürgen :)

  • Mein Web-Server Log sieht genauso aus.
    Damit die Script-Kiddies nicht zu frustriert sind, habe ich ein paar von den
    gesuchen "cmd.exe" und "niieslog.dll" auf den server gelegt.
    Die geben dann eine 30 K langes "gefaktes" dir aus und zwar mit einem Delay von 2 Sekunden pro Zeile.


    Je nach Ausdauer bleiben die lieben Hackertools für 5 Minuten bis 1 Stunde beschäftigt.


    Nett ist auch einen nach aussen einen offenen FTP Server zu zeigen mit vielen GBytes Platz. Wird auch immer wieder gerne gesucht.


    Aber immer schon "safe" bleiben ....

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!