LINUXPORTAL.RU  |   Живое общение LinuxPortal.Ru   |    Ленты событий        |   ФОРУМЫ  |   БИБЛИОТЕКА  |   ССЫЛКИ  |   НОВОСТИ  |   БЛОГИ АДМИНОВ

Участники   Поиск   F.A.Q.    Регистрация    Вход   Начало
Начало » Для администраторов и программистов » Серверные программы » Чужь в логах Апача - стоит ли ее бояться?
Показать: Сегодняшние сообщения  :: Показать голосования :: Навигатор по сообщениям
Отправить по e-mail 		 Переключение в режим просмотра в виде древовидного списка сообщений и ответов Создать новую тему Отправить ответ
Чужь в логах Апача - стоит ли ее бояться? Втр, 26 Ноябрь 2002 14:48 Переход к следующему сообщения
GMN в настоящее время не в онлайне GMN  UKRAINE
Сообщений: 136
Зарегистрирован: Октябрь 2002
Географическое положение: Kiev
Завсегдатай
1. В логе апача куча таких строк:
192.168.0.8 - - [24/Nov/2002:03:13:29 +0000] "PROPFIND /My%20Documents HTTP/1.1" 404 288
192.168.0.8 - - [24/Nov/2002:05:47:54 +0000] "OPTIONS / HTTP/1.1" 200 -
ЭТО локальная машина, на ней что ,червь есть что ли?
2. Потом еще:
210.114.223.181 - - [24/Nov/2002:07:41:51 +0000] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 -
Ну это вроди понятно, черви ищут уязвимые IIS, и для Апача это не грозит.213.176.126.162 - - [25/Nov/2002:16:27:05 +0000] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 284
213.176.126.162 - - [25/Nov/2002:16:27:07 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 282
213.176.126.162 - - [25/Nov/2002:16:27:10 +0000] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
213.176.126.162 - - [25/Nov/2002:16:27:16 +0000] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
213.176.126.162 - - [25/Nov/2002:16:27:21 +0000] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
213.176.126.162 - - [25/Nov/2002:16:27:24 +0000] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.e xe?/c+dir HTTP/1.0" 404 323
213.176.126.162 - - [25/Nov/2002:16:27:27 +0000] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.e xe?/c+dir HTTP/1.0" 404 323
213.176.126.162 - - [25/Nov/2002:16:27:30 +0000] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..% c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339
213.176.126.162 - - [25/Nov/2002:16:27:33 +0000] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
213.176.126.162 - - [25/Nov/2002:16:27:47 +0000] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
213.176.126.162 - - [25/Nov/2002:16:27:50 +0000] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
213.176.126.162 - - [25/Nov/2002:16:27:55 +0000] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305
213.176.126.162 - - [25/Nov/2002:16:28:02 +0000] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 289
213.176.126.162 - - [25/Nov/2002:16:28:04 +0000] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 289
213.176.126.162 - - [25/Nov/2002:16:28:08 +0000] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
213.176.126.162 - - [25/Nov/2002:16:28:14 +0000] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306

ЭТО ВРОДИ БЫ из той же оперы, и у всех у них ответ Апача 404.
Но могут ли они навредить как то?
Апач работает не от root.
Известить модератора
Re: Чужь в логах Апача - стоит ли ее бояться? Втр, 26 Ноябрь 2002 14:58 Переход к предыдущему сообщенияПереход к следующему сообщения
ezhikov в настоящее время не в онлайне ezhikov  RUSSIAN FEDERATION
Сообщений: 641
Зарегистрирован: Июль 2002
Географическое положение: Питер
Старожил
guru
Классический пример работы идиота Smile искать root.exe на unix Smile
Ничего страшного ... только посоветую запретить методы эти хитрые
OPTIONS и PROPFIND ну и ваобще все ненужные ......
оставить только POST и GET
Известить модератора
Re: Чужь в логах Апача - стоит ли ее бояться? Втр, 26 Ноябрь 2002 15:07 Переход к предыдущему сообщенияПереход к следующему сообщения
Ananas в настоящее время не в онлайне Ananas  UKRAINE
Сообщений: 1136
Зарегистрирован: Июнь 2002
Географическое положение: Киев
Старожил
guru
еще можно положить на место cmd.exe маленький скриптик, советующий атакующему совершить безусловный переход по трехбайтному адресу :))

[Обновления: Втр, 26 Ноябрь 2002 15:08]

читайте man-ы, они - рулез :)
Известить модератора
Re: Чужь в логах Апача - стоит ли ее бояться? Втр, 26 Ноябрь 2002 15:10 Переход к предыдущему сообщенияПереход к следующему сообщения
ezhikov в настоящее время не в онлайне ezhikov  RUSSIAN FEDERATION
Сообщений: 641
Зарегистрирован: Июль 2002
Географическое положение: Питер
Старожил
guru
не имеет смысла посылать куда либо червя расплодившегося на давно забытых машинах в сети ........
Известить модератора
Re: Чужь в логах Апача - стоит ли ее бояться? Втр, 26 Ноябрь 2002 15:12 Переход к предыдущему сообщенияПереход к следующему сообщения
GMN в настоящее время не в онлайне GMN  UKRAINE
Сообщений: 136
Зарегистрирован: Октябрь 2002
Географическое положение: Kiev
Завсегдатай
т.е. это получается, как говорят "до лампочки", если стоит Апач на Linux Smile
Спасибо.
Известить модератора
Re: Чужь в логах Апача - стоит ли ее бояться? Втр, 26 Ноябрь 2002 15:26 Переход к предыдущему сообщенияПереход к следующему сообщения
GMN в настоящее время не в онлайне GMN  UKRAINE
Сообщений: 136
Зарегистрирован: Октябрь 2002
Географическое положение: Kiev
Завсегдатай
А по первому вопросу - это тоже червь?
192.168.0.8 - - [24/Nov/2002:01:54:45 +0000] "OPTIONS / HTTP/1.1" 200 -
192.168.0.8 - - [24/Nov/2002:01:54:45 +0000] "PROPFIND /My%20Documents HTTP/1.1" 404 288
Известить модератора
Re: Чужь в логах Апача - стоит ли ее бояться? Втр, 26 Ноябрь 2002 15:29 Переход к предыдущему сообщенияПереход к следующему сообщения
ezhikov в настоящее время не в онлайне ezhikov  RUSSIAN FEDERATION
Сообщений: 641
Зарегистрирован: Июль 2002
Географическое положение: Питер
Старожил
guru
Smile Нет это похоже кто то в броузере искал свои документы .....
наверное тщетно
Известить модератора
Re: Чужь в логах Апача - стоит ли ее бояться? Втр, 26 Ноябрь 2002 15:35 Переход к предыдущему сообщенияПереход к следующему сообщения
GMN в настоящее время не в онлайне GMN  UKRAINE
Сообщений: 136
Зарегистрирован: Октябрь 2002
Географическое положение: Kiev
Завсегдатай
И этот мусор (от того, кто искал свои документы Smile ) идет с ХР.
А как сделать, чтобы это в лог не писалось?
Известить модератора
Re: Чужь в логах Апача - стоит ли ее бояться? Втр, 26 Ноябрь 2002 15:39 Переход к предыдущему сообщенияПереход к следующему сообщения
ezhikov в настоящее время не в онлайне ezhikov  RUSSIAN FEDERATION
Сообщений: 641
Зарегистрирован: Июль 2002
Географическое положение: Питер
Старожил
guru
Написано ж Чёрным по белому ЗАПРЕТИ МЕТОДЫ кроме GET и POST
Известить модератора
Re: Чужь в логах Апача - стоит ли ее бояться? Сбт, 05 Июль 2003 09:06 Переход к предыдущему сообщения
nabis в настоящее время не в онлайне nabis  UNITED STATES
Сообщений: 73
Зарегистрирован: Октябрь 2002
Географическое положение: Chicago IL
iptables -t filter -A INPUT -i $EXT_IFACE -p tcp -d $DEST_IP --dport http -m string --string "/cmd.exe?/c+dir" -j DROP
;)

echo " [q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439 snlbxq "|dc
Известить модератора
  Переключение в режим просмотра в виде древовидного списка сообщений и ответов Создать новую тему Отправить ответ
Предыдущая тема:Маскарадинг в Sendmail и FEATURE(`masquerade_envelope')
Следующая тема:Проблема с кодировками в Apache
Переход к форуму:
  

-=] Вернуться вверх [=-
[ Сформировать XML ] [ RSS ]

Текущее время: Птн Май 18 19:55:32 MSK 2012
.:: Обратная связь :: Начало ::.

При поддержке: FUDforum 3.0.1.
Copyright © 2001-2010 FUDforum Bulletin Board Software