Einzelnen Beitrag anzeigen
  #7  (Permalink
Alt 29.11.2001, 13:25
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard Re: Shellex Trojaner

achso, dein Rechner verbindet sich mit einem Rechner mit der IP 10.0.1.128...

Mach doch mal einen Tracert auf die IP-Adresse.

ich kriege über VisualRoute die Info: Private Use

Komisch ist nur, daß ich überhaupt eine Antwort kriege. Ein NMAP bringt mir auch offene Ports, aber Deiner ist nicht dabei.

Hier mal eine Antwort aus einer englischen Newsgroup:
I would guess (it is probably quite likely however) that your running an
unpatched version of IIS 5.0 and have been infected by the CodeRed III
worm (or CodeRed II if you so wish).

Have a look in your IIS logfiles for requests with "default.ida" in
them. Also look for "explorer.exe" in your C:\ or D:\ drives and
"root.exe" in c:\inetpub\scripts\.

You box is scanning for other hosts to infect, hence all the SYN_SENT
states. Those that are ESTABLISHED means that it's probably merrily
infecting that IP (Or attempting to).

The top four entries in that list (Barring your own) are connections to
_you_. Either other hosts trying to infect your IIS server or script
kiddies trying to exploit it further. Of course it could be someone
browsing your site


[img]/forum/images/icons/cool.gif[/img] COKS - Zeugwart -
Club der Onlinekosten.de Sonnenbrillenträger www.coks.de.vu
__________________
Dieser Beitrag stammt von einem Account, der aufgelöst wurde.
Mit Zitat antworten