Gerade eben aus aktuellem Anlass mal das error_log eines unserer Webserver näher angeschaut und was sieht man da:
[..]
[Tue Jan 15 10:21:00 2008] [error] [client *.*.*.*] File does not exist: /home/foobar/html/_vti_bin
[Tue Jan 15 10:21:00 2008] [error] [client *.*.*.*] File does not exist: /home/foobar/html/MSOffice
[Tue Jan 15 10:21:41 2008] [error] [client *.*.*.*] File does not exist: /home/foobar/html/_vti_bin
[Tue Jan 15 10:21:41 2008] [error] [client *.*.*.*] File does not exist: /home/foobar/html/MSOffice
[Tue Jan 15 10:24:45 2008] [error] [client *.*.*.*] File does not exist: /home/foobar/html/_vti_bin
[Tue Jan 15 10:24:45 2008] [error] [client *.*.*.*] File does not exist: /home/foobar/html/MSOffice
[..]
Normalerweise ignoriert man sowas ja, da das zum normalen Hintergrundrauschen im Internet gehört.
Aber neugierig ist man manchmal ja doch:
$ whois *.*.*.*
inetnum: *******
netname: *******
descr: *******
Noch Fragen?
Edit:
Laut http://lists.jammed.com ruft anscheinend auch der IE mit einer gewissen Erweiterung diese URLs auf, um bestimmte Fähigkeiten des vermeintlichen IIS-Webservers abzufragen.
Es gibt also scheinbar neben Nimda & Co. doch noch legitime Requests für solche URLs.
Deshalb auch IP-Adresse und Netblock-Owner unkenntlich gemacht.
{ 4 } Comments
Grosses Kino. Nice Digg :]
*lol*
Ich bezweifle, dass das verseuchte Kisten sind. Windows stimmt allerdings, genauer gesagt ist der Internet Explorer daran schuld. Such mal nach dem Verzeichnis-Teil "_vti_bin" und du wirst sehen, was die Ursache ist.
Darauf gekommen bin ich, weil ich ab und zu was mit dem Microsoft SharePoint Server zu tun habe, welcher auf dem IIS Webserver läuft.
@krisz:
Danke für den Hinweis - hab den Artikel überarbeitet.