Logs do apache

1c3m4n · 07-05-2005, 9:37

E ae povo baum?

Seguinte to montando um pacote de regras pro layer7, principalmente pra bloquear akeles worms chatos da m$ ou entaum akeles ataques de iis, sei q essa porcaria num afeta em nada o apache mas pelo menos da pra bloquear antes dele chegar no apache.

Se vcs tiverem mais logs desse tipo postem aki pra eu criar as regras, por enqto tenho essas:

Código:

/default\.ida\?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3
%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a

GET (/scripts/root\.exe\?/c\+dir|/MSADC/root\.exe\?/c\+dir|/c/winnt/system32/cmd\.exe\?
/c\+dir|/d/winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.%5c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/_vti_bin/\.\.%5c\.\./\.\.%5c\.\./\.\.%5c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/_mem_bin/\.\.%5c\.\./\.\.%5c\.\./\.\.%5c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/msadc/\.\.%5c\.\./\.\.%5c\.\./\.\.%5c/\.\.\xc1\x1c\.\./\.\.\xc1\x1c\.\./\.\.\xc1\x1c\.\.
/winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.\xc1\x1c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/scripts/\.\.\xc0/\.\./winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.\xc0\xaf\.\.
/winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.\xc1\x9c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/scripts/\.\.%35c\.\./winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.%35c\.\.
/winnt/system32/cmd\.exe\?/c\+dir|/scripts/\.\.%5c\.\./winnt/system32/cmd\.exe\?
/c\+dir|/scripts/\.\.%2f\.\./winnt/system32/cmd\.exe\?/c\+dir)

/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a

1c3m4n · 07-05-2005, 17:56

Agora tenho mais esses:

Código:

/scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir

awstats.pl?configdir=|%20id%20|

e esse repetindo esse codigo milhares de vezes:
"SEARCH /\x90\x02\xb1\

madem seus logs tb

, vo montar o pacote de protocolos com elas e dps coloco pro pessoal fazer download

demiurgo · 09-05-2005, 9:26

pow.... fiquei curioso quando vi esse seu post maluco e fui ver o projeto q eh o layer7.... mto foda mesmo o kra hein?

como vc estah implementando ele?

[]'s

1c3m4n · 09-05-2005, 9:36

po enqto to tentando criar as rules pra ele certinho, mas o l7 tem um problema, ele soh consegue analizar o pacote qdo ele entra na maquina, intaum num da pra usa em conjunto com prerouting,etc...

whinston · 11-05-2005, 15:06

nossa cara, da vontade de bater em cada corno que gera isto, pq sao milhares de linhas!!! mas sao estas q vc ja postou ae em cima

07-05-2005, 17:56	#2 (permalink)
Logs do apache Agora tenho mais esses: Código: /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir awstats.pl?configdir=\|%20id%20\| e esse repetindo esse codigo milhares de vezes: "SEARCH /\x90\x02\xb1\ madem seus logs tb , vo montar o pacote de protocolos com elas e dps coloco pro pessoal fazer download __________________ Certificado LPIC-1 ID: LPI000022766 Code: jsaxnw9tu9 https://www.lpi.org/en/verify.html	1c3m4n Super Moderador Registrado em: Sep 2002 Idade: 26 Mensagens: 6.002 Agradeceu: 1 Agradecido 7 vez(es) em 7 Posts Reputação: 0

09-05-2005, 9:26	#3 (permalink)
Logs do apache pow.... fiquei curioso quando vi esse seu post maluco e fui ver o projeto q eh o layer7.... mto foda mesmo o kra hein? como vc estah implementando ele? []'s	demiurgo Super Moderador Registrado em: Oct 2002 Idade: 27 Mensagens: 4.040 Agradeceu: 0 Agradecido 3 vez(es) em 3 Posts Reputação: 0

09-05-2005, 9:36	#4 (permalink)
Logs do apache po enqto to tentando criar as rules pra ele certinho, mas o l7 tem um problema, ele soh consegue analizar o pacote qdo ele entra na maquina, intaum num da pra usa em conjunto com prerouting,etc... __________________ Certificado LPIC-1 ID: LPI000022766 Code: jsaxnw9tu9 https://www.lpi.org/en/verify.html	1c3m4n Super Moderador Registrado em: Sep 2002 Idade: 26 Mensagens: 6.002 Agradeceu: 1 Agradecido 7 vez(es) em 7 Posts Reputação: 0

11-05-2005, 15:06	#5 (permalink)
estes mesmos nossa cara, da vontade de bater em cada corno que gera isto, pq sao milhares de linhas!!! mas sao estas q vc ja postou ae em cima __________________ Senão vai acrescentar nada e não é offtopic, pra que postar ?	whinston Usuário Registrado em: Nov 2004 Mensagens: 1.717 Agradeceu: 0 Agradecido 2 vez(es) em 2 Posts Reputação: 0

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Logs...	admskill	Mikrotik	2	28-11-2006 8:07
logs apache	psk_kag	Apache	2	15-06-2005 10:00
Logs e mais logs no NetBSD	SDM	NetBSD	1	27-07-2004 13:16
envio de LOGS para SERVIDOR DE LOGS		*BSD	0	25-09-2003 14:15
Logs	cristianmr	Segurança	6	28-01-2003 16:37

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail