tentativa de ataque?

_N3o_ · 03-01-2007, 22:57

fala povo!

estou testando o tomcat aqui! e por acaso fui verificar os logs.. e surpresa!! o que vou postar aparece somente nos logs do tomcat, mas não nos logs do apache.. achei estranho..

221.148.176.50 - - [29/Dec/2006] "GET /prx1.php HTTP/1.0" 404 979
221.148.176.50 - - [] "GET /prx1.php HTTP/1.0" 404 979
221.148.176.50 - - [] "GET /prx1.php HTTP/1.0" 404 979
59.33.148.94 - - [] "GET /prx1.php HTTP/1.0" 404 979
221.148.176.50 - - [] "GET /prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b HTTP/1.0" 404 976
61.54.137.199 - - [] "GET /ps/prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b HTTP/1.1" 404 985
221.148.176.50 - - [] "GET /prx1.php HTTP/1.0" 404 979
221.148.176.50 - - [] "GET /prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b HTTP/1.0" 404 976

começou dia 29/dezembro! e já verifiquei 4 ou 5 tentativas diárias de acesso a estes arquivos!

encontrei apenas referência a isso em um tópico na net de 2005! já fiz ping, dig e traceroute.. e guardei tudo aqui!

alguém já viu algo parecido?

abraços..

_N3o_ · 05-01-2007, 20:10

parece que mais pessoas estão tendo o mesmo problema com esse proxygrade.php!

222.222.235.59 - - [05/Jan/2007:00:46:06 -0200] "GET /proxygrade.php?hash=C59C2E3FD31372B ADD1004781F90050A953698723D3E HTTP/1.1" 404 997
222.222.235.59 - - [] "GET /proxygrade.php?hash=C59C2E3FD31372B ADD1004781F90050A953698723D3E HTTP/1.1" 404 997
211.147.250.20 - - [] "GET /proxyjudge.php HTTP/1.1" 404 997
222.222.235.59 - - [] "GET /proxygrade.php?hash=C59C2E3FD31372B ADD1004781F90050A953698723D3E HTTP/1.1" 404 997
221.148.176.50 - - [] "GET /prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b HTTP/1.0" 404 976
192.168.254.38 - - [] "GET / HTTP/1.0" 200 8442

_N3o_ · 05-01-2007, 21:15

alguém me ajuda a bloquear esse tipo de conexão?

Jan 5 04:08:42 kernel: FIREWALL: PPP-INPUT IN=ppp0 OUT= MAC= SRC=211.147.250.20 DST= LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=7212 WINDOW=16384 RES=0x00 SYN URGP=0

Jan 5 04:08:42 kernel: FIREWALL: PPP-INPUT IN=ppp0 OUT= MAC= SRC=211.147.250.20 DST= LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=8000 WINDOW=16384 RES=0x00 SYN URGP=0

Jan 5 05:11:19 kernel: FIREWALL: PPP-INPUT IN=ppp0 OUT= MAC= SRC=211.147.250.20 DST= LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=7212 WINDOW=16384 RES=0x00 SYN URGP=0

Jan 5 05:11:19 kernel: FIREWALL: PPP-INPUT IN=ppp0 OUT= MAC= SRC=211.147.250.20 DST= LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=8000 WINDOW=16384 RES=0x00 SYN URGP=0

Jan 5 05:11:19 kernel: FIREWALL: PPP-INPUT IN=ppp0 OUT= MAC= SRC=211.147.250.20 DST= LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=8080 WINDOW=16384 RES=0x00 SYN URGP=0

03-01-2007, 22:57	#1 (permalink)
_N3o_ Registrado em: Jan 2004 Localização: Rio de Janeiro Idade: 27 Posts: 638 Agradeceu: 2 Agradecido 36 vez(es) em 36 Posts Reputação: 0	tentativa de ataque? fala povo! estou testando o tomcat aqui! e por acaso fui verificar os logs.. e surpresa!! o que vou postar aparece somente nos logs do tomcat, mas não nos logs do apache.. achei estranho.. 221.148.176.50 - - [29/Dec/2006] "GET /prx1.php HTTP/1.0" 404 979 221.148.176.50 - - [] "GET /prx1.php HTTP/1.0" 404 979 221.148.176.50 - - [] "GET /prx1.php HTTP/1.0" 404 979 59.33.148.94 - - [] "GET /prx1.php HTTP/1.0" 404 979 221.148.176.50 - - [] "GET /prx.php?p=q1w2e3r4t5y6u7i8o9p0a-b HTTP/1.0" 404 976 61.54.137.199 - - [] "GET /ps/prx.php?p=q1w2e3r4t5y6u7i8o9p0a-b HTTP/1.1" 404 985 221.148.176.50 - - [] "GET /prx1.php HTTP/1.0" 404 979 221.148.176.50 - - [] "GET /prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b HTTP/1.0" 404 976 começou dia 29/dezembro! e já verifiquei 4 ou 5 tentativas diárias de acesso a estes arquivos! encontrei apenas referência a isso em um tópico na net de 2005! já fiz ping, dig e traceroute.. e guardei tudo aqui! alguém já viu algo parecido? abraços.. __________________ Você usar a força deve aprender: man comando Linux User # 325843

05-01-2007, 20:10	#2 (permalink)
_N3o_ Registrado em: Jan 2004 Localização: Rio de Janeiro Idade: 27 Posts: 638 Agradeceu: 2 Agradecido 36 vez(es) em 36 Posts Reputação: 0	denovo..... parece que mais pessoas estão tendo o mesmo problema com esse proxygrade.php! 222.222.235.59 - - [05/Jan/2007:00:46:06 -0200] "GET /proxygrade.php?hash=C59C2E3FD31372B ADD1004781F90050A953698723D3E HTTP/1.1" 404 997 222.222.235.59 - - [] "GET /proxygrade.php?hash=C59C2E3FD31372B ADD1004781F90050A953698723D3E HTTP/1.1" 404 997 211.147.250.20 - - [] "GET /proxyjudge.php HTTP/1.1" 404 997 222.222.235.59 - - [] "GET /proxygrade.php?hash=C59C2E3FD31372B ADD1004781F90050A953698723D3E HTTP/1.1" 404 997 221.148.176.50 - - [] "GET /prx.php?p=q1w2e3r4t5y6u7i8o9p0*a-b HTTP/1.0" 404 976 192.168.254.38 - - [] "GET / HTTP/1.0" 200 8442 __________________ Você usar a força deve aprender: man comando Linux User # 325843

05-01-2007, 21:15	#3 (permalink)
_N3o_ Registrado em: Jan 2004 Localização: Rio de Janeiro Idade: 27 Posts: 638 Agradeceu: 2 Agradecido 36 vez(es) em 36 Posts Reputação: 0	logs do iptables alguém me ajuda a bloquear esse tipo de conexão? Jan 5 04:08:42 kernel: FIREWALL: PPP-INPUT IN=ppp0 OUT= MAC= SRC=211.147.250.20 DST= LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=7212 WINDOW=16384 RES=0x00 SYN URGP=0 Jan 5 04:08:42 kernel: FIREWALL: PPP-INPUT IN=ppp0 OUT= MAC= SRC=211.147.250.20 DST= LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=8000 WINDOW=16384 RES=0x00 SYN URGP=0 Jan 5 05:11:19 kernel: FIREWALL: PPP-INPUT IN=ppp0 OUT= MAC= SRC=211.147.250.20 DST= LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=7212 WINDOW=16384 RES=0x00 SYN URGP=0 Jan 5 05:11:19 kernel: FIREWALL: PPP-INPUT IN=ppp0 OUT= MAC= SRC=211.147.250.20 DST= LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=8000 WINDOW=16384 RES=0x00 SYN URGP=0 Jan 5 05:11:19 kernel: FIREWALL: PPP-INPUT IN=ppp0 OUT= MAC= SRC=211.147.250.20 DST= LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=6000 DPT=8080 WINDOW=16384 RES=0x00 SYN URGP=0 __________________ Você usar a força deve aprender: man comando Linux User # 325843

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Log tentativa de conexão	leo_mineiro	Samba/SMB	6	30-08-2006 07:50
Urgente>>>Tentativa de uso de ip	budairc	Wireless	12	17-07-2004 14:14
É tentativa de invasão	pirat	Segurança	2	21-07-2003 12:07
Revidando uma tentativa de ataque !!!	peen-gween	Proxy/NAT/Firewall	1	16-07-2003 11:25
Tentativa de Logon	mcsbws	Segurança	3	23-08-2002 04:57

Ferramentas do Tópico
Exibir versão para impressão Enviar essa página por email