Tentativa de invasão ???/ Como agir ??
Como foi dito em cima, isso são ataques a um servidor Web IIS da Microsoft. Pois bem, como e´ certo e sabido o worm Code Red e outros, tentam explorar essas falha, portanto qualquer pessoa que esteja infectada pode estar a "atacar-te". Eu chego a registar milhares de ataques identicos por dia nos meus web servers!!!
Eu não sei como é a Lei/Justiça e sua aplicação no Brasil .. mas cá em Portugal demoraaaaaaaaaaaaaa muitoooooooooo e fica extremamente caro! Por isso, tenho de me safar com o que posso e tenho de aguentar os ataques! <IMG SRC="images/forum/smilies/icon_biggrin.gif">
Tentativa de invasão ???/ Como agir ??
Deixa eu ver se consigo explicar.
ESte ataque ou tentativa que vc disse que sofreu, é um problema com um trojan que se espalha automaticamente, mas como vc pode ver ele foi desenvolvido somente para servidores windows, e server para capturar a senha do root, lembra que o APACHE recentemente divulgou uma atualização de segurança? Então é p/ corrigir este problema.
No caso, se vc souber de quem são estes IPs avise pois com certeza eles não sabem que estão infectados.
Desculpe minha intromissão no assunto.
Se quiserem mais detalhes vcs podem dar uma olhada no forum da conectiva, pois vi muita gente reportando este problema lá tambem.
Tentativa de invasão ???/ Como agir ??
I...
isso me cheira a Slapper..
Manow , tu ta infectado pelo slapper..
da uma olhada la no seu /tmp .
esse virus (trojan) é um saco ..
da uma olhada no seu directorio cache do http ele se esconde la tambem!
não esquece de atualizar o Apache , isso é realmente importante!
[]os
MAJOR
Tentativa de invasão ???/ Como agir ??
Acho que vc num leu direito o post do Paulogrifo.... isso não eh Slapper de jeito nenhum!!!
o Slapper explora vulnerabilidades do SSL... esse ai eh com toda certeza um worm que tenta explorar o IIS!!!!!!!
Tentativa de invasão ???/ Como agir ??
Tambem tive este problema, verificando os logs do apache notei que aconteciam esses erros sempre em sequencia e sempre os mesmos ips, como na companhia em que eu trabalho ja foi hackeada, tive que instalar uma ferramenta que barrasse esses espertinhos
Utilizei o tão badalado Snort e realmente fiquei surpreso com a quantidade de alertas recebidos. Mas o Snort apenas loga os alertas, ai então que entrou em cena o Guardian uma ferramenta escrita em perl que esta no propio diretorio contrib do codigo fonte do Snort, ele simplismente trabalha junto com o Snort lendo os seus logs em tempo real, na medida que um alerta é emitido pelo Snort o Guardian automaticamente barra o ip pelo firewall (no meu caso o ipchains).