Se não me engano isto é tentativa de acesso de um worm a um web server Microsoft? Sempre acho vários desses nos meus logs do apache....
200.XXX.110.XXX - - [27/Jul/2004:15:32:41 -0300] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090
%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u000
0%u00=a HTTP/1.0" 404 300
auehuaeaeu isso nem me deixa preocupado!
Mas isso me deixa:
200.XXX.250.XXX- - [27/Jul/2004:21:07:10 -0300] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x..........x90\x90\x90\x90\x90\x90\
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
x90\x90\x90\x90\x90" 414 341
eu resumi este log pois os caracteres chegam a 3 paginas mais ou menos... grande! O que será que causa isso?
-
30-07-2004, 08:33 #1
- Ingresso
- Nov 2002
- Posts
- 2.309
Esses worms
-
31-07-2004, 11:48 #2sliceVisitante Esses worms
hehehehe!!!
São worms mesmo...
Sempre aparece estas porcarias no log do meu apache tbém...
Mas eu costumo devolver estas requisições para o próprio dono :-)
Se ele tem vírus ele tem windows... se ele tem windows ele é vulnerável... e se ele quer me derrubar então ele pode cair tbém :-P
Se teu log ficar muito poluído, o que provavelmente ficará... faça um script que varre o log e limpa ele.
Inclua isso no seu httpd.conf
<Directory /var/www/>
AllowOverride None
Order allow,deny
Allow from all
RedirectMatch (.*)\default.ida$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201
RedirectMatch (.*)\cmd.exe$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201
RedirectMatch (.*)\root.exe$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201
RedirectMatch (.*)\SEARCH$ http://127.0.0.1/scripts/..%255c..%2...tWindowsEX%201
</Directory>
PS.: Aqui saiu quebrada a linha mas é tudo na mesma linha... como na linha abaixo:
RedirectMatch (.*)\SEARCH$ http://127.0.0.1/.................
flw
Slice
-
31-07-2004, 14:54 #3
- Ingresso
- Nov 2002
- Posts
- 2.309
Esses worms
hummm......po legal cara...não sabia desta de redirecionar.... valeu....
vou fazer uns testes e procurar saber mais a respeito ....
-
31-07-2004, 17:25 #4sliceVisitante Esses worms
Se descobrir mais alguma coisa interessante, posta aí pra gente!!!
[]'s
Slice
-
22-08-2004, 23:19 #5sliceVisitante Esses worms
PiTsA
dê uma olhada no awstats é um excelente analizador de logs do apache, fantástico... e tem uma parte que vc configura ele para reconhecer no log do apache alguns worms...
http://awstats.sourceforge.net/
flw!
Slice
-
23-08-2004, 07:46 #6gmlinuxVisitante Esses worms
Existe um problema em "contra atacar", suponha que alguem forje um ataque a vc com endereço de outrem, a quem vc vai "contra atacar"...
Desta forma, o outrem vai achar que vc é um atacante...
-
23-08-2004, 23:11 #7sliceVisitante Esses worms
estes ataques são gerados por vírus (em sua maioria), e na maioria das vezes o user/admin não sabem que estão infectados...
Postado originalmente por gmlinux
e isso naun vai acontecer, pois a conexão sempre será redirecionada para o 'localhost' de quem está atacando... veja p http://127.0.0.1/....... e não de quem ele está forjando o ataque, quando for um ataque...
outra opção é vc fazer um script com os mesmos nomes (default.ida por ex.) que loga os ataques e bloqueia o ip via iptables, pelo menos temporariamente... mas essa solução é radical demais, visto que um 'grande' cliente seu pode ter uma maquina infectada e ter o acesso ao teu site bloqueado por isso, imagine o prejuízo que vc pode ter!
flw!
Slice
-
23-08-2004, 23:43 #8
- Ingresso
- Jan 2003
- Posts
- 3.073
Esses worms
ou simplesmente opte por ignorar e/ou limpar essas entradas do seu logfile.... nao eh nunca bom retaliar um ataque, um motivo e economizar a sua banda, o outro claro, nao prescisa falar.
-
24-08-2004, 12:41 #9gmlinuxVisitante Esses worms
Se vc retaliar, um cracker pode usar esta condição para exploração, (mesmo que o ataque original seja gerado por vírus) colocando um contra o outro, de repente obtendo uma saturação da banda (DOS parcial).
É como mistymst disse, não é boa prática o contra ataque (pelo menos automático
)
-
24-08-2004, 14:56 #10
- Ingresso
- Jul 2003
- Posts
- 487
Esses worms
na moral slice tô contigo vamu devolver o veneno para a propria cobra ... se vc sabe atacar parabens aprenda a se defender tumem .
se vc tiver uns analisadores legais me manda uma mp com eles valeu e um abraçãum
Citação