Какой-то паразит атакует наш апач на соляре, причем атаками предназанченными для IIS, но при этом подставляет чужие IP. Четко знаем, что это из нашего региона паразит, но вот как вычислить его реальный IP - возможно ли?

• RE: Атака на веб,lavr, 20:03 , 23-Янв-02
  • RE: Атака на веб,Vlad, 11:02 , 24-Янв-02
    • Ну так что, никто не поможет?,Vlad, 18:36 , 24-Янв-02
• RE: Атака на веб,alexey, 22:56 , 23-Янв-02
  • RE: Атака на веб,BartSimpson, 12:23 , 24-Янв-02
• RE: Атака на веб,Аноним, 18:54 , 24-Янв-02
  • RE: Атака на веб,def, 18:57 , 24-Янв-02
  • RE: Атака на веб,Сергей, 19:19 , 24-Янв-02
• Расслабься...,Евгений, 19:25 , 24-Янв-02
  • RE: Расслабься...,Vlad, 19:49 , 24-Янв-02
  • RE: Расслабься...,Vlad, 19:51 , 24-Янв-02

>Какой-то паразит атакует наш апач на
>соляре, причем атаками предназанченными для
>IIS, но при этом подставляет
>чужие IP. Четко знаем, что
>это из нашего региона паразит,
>но вот как вычислить его
>реальный IP - возможно ли?
>

ставь сетевой монитор или tcpdump, MAC вылезет

>>Какой-то паразит атакует наш апач на
>>соляре, причем атаками предназанченными для
>>IIS, но при этом подставляет
>>чужие IP. Четко знаем, что
>>это из нашего региона паразит,
>>но вот как вычислить его
>>реальный IP - возможно ли?
>>
>
>ставь сетевой монитор или tcpdump, MAC
>вылезет

MAC я думаю будет до фени, так как это явно какой-то диалапщик у одного из наших местных провайдеров - один раз он засветился с местным диалап-IP, но этой информации было мало для принятия мер через соответствующие инстанции

>>>Какой-то паразит атакует наш апач на
>>>соляре, причем атаками предназанченными для
>>>IIS, но при этом подставляет
>>>чужие IP. Четко знаем, что
>>>это из нашего региона паразит,
>>>но вот как вычислить его
>>>реальный IP - возможно ли?
>>>
>>
>>ставь сетевой монитор или tcpdump, MAC
>>вылезет
>
>MAC я думаю будет до фени,
>так как это явно какой-то
>диалапщик у одного из наших
>местных провайдеров - один раз
>он засветился с местным диалап-IP,
>но этой информации было мало
>для принятия мер через соответствующие
>инстанции

>Какой-то паразит атакует наш апач на
>соляре, причем атаками предназанченными для
>IIS, но при этом подставляет
>чужие IP. Четко знаем, что
>это из нашего региона паразит,
>но вот как вычислить его
>реальный IP - возможно ли?
>

Analogichno tolko apache + linux...

Садит в дуще
дам пошккел ты нах...........ййй, помогает

Ответь мне пожалуйсто, есле слышишь меня.

решение:
1. snort in alert mode bind 80 port
2. portsentry bind common ports
s.y. deathor aka def

>Ответь мне пожалуйсто, есле слышишь меня.
>
Вобщем-то правльно сказали с portsentry. Можешь повесить на него nmap, чтобы в ответ просканил, возможно всплывет (dns)имя провайдера.

ИМХО, ты все не так понял.
Для того, чтобы подменить айпишник, имея возможность  устанавливать с него полноценные TCP соединения, нужна достаточно высокая квалификация. Ее вполне достаточно для того, чтобы в бровсере посмотреть тип твоего сервера :)
Просто зараженные, к примеру, red worm'ом IIS сервера на автомате начинают пинговать другие (произвольные) адреса и, найдя там www-сервер, пытаются заразить и его.
Сам видел это дерьмо в логах апача ;) и извинялся перед другими админами за своих юзеров - любителей IIS :(
Если тебя это парит - софта, отслеживающего подобные вещи и даже на автомате пишущего админу гневные письма - валом, ищи в разделе security

>ИМХО, ты все не так понял.
>
>Для того, чтобы подменить айпишник, имея
>возможность  устанавливать с него
>полноценные TCP соединения, нужна достаточно
>высокая квалификация. Ее вполне достаточно
>для того, чтобы в бровсере
>посмотреть тип твоего сервера :)
>
>Просто зараженные, к примеру, red worm'ом
>IIS сервера на автомате начинают
>пинговать другие (произвольные) адреса и,
>найдя там www-сервер, пытаются заразить
>и его.
>Сам видел это дерьмо в логах
>апача ;) и извинялся перед
>другими админами за своих юзеров
>- любителей IIS :(
>Если тебя это парит - софта,
>отслеживающего подобные вещи и даже
>на автомате пишущего админу гневные
>письма - валом, ищи в
>разделе security

Да не парит это меня - все равно у него ничего не получиться, а логи я и так наблюдаю, просто хотел узнать можно ли вычислять на ходу это дело - а поводу того, что это ламер - это явно видно - целый месяц бросается на апачевый сервер с атаками на IIS, ну только полный идиот может это делать. Сами атаки для меня безвредны.

>ИМХО, ты все не так понял.
>
>Для того, чтобы подменить айпишник, имея
>возможность  устанавливать с него
>полноценные TCP соединения, нужна достаточно
>высокая квалификация. Ее вполне достаточно
>для того, чтобы в бровсере
>посмотреть тип твоего сервера :)
>
>Просто зараженные, к примеру, red worm'ом
>IIS сервера на автомате начинают
>пинговать другие (произвольные) адреса и,
>найдя там www-сервер, пытаются заразить
>и его.
>Сам видел это дерьмо в логах
>апача ;) и извинялся перед
>другими админами за своих юзеров
>- любителей IIS :(
>Если тебя это парит - софта,
>отслеживающего подобные вещи и даже
>на автомате пишущего админу гневные
>письма - валом, ищи в
>разделе security

Да не парит это меня - все равно у него ничего не получиться, а логи я и так наблюдаю, просто хотел узнать можно ли вычислять на ходу это дело - а поводу того, что это ламер - это явно видно - целый месяц бросается на апачевый сервер с атаками на IIS, ну только полный идиот может это делать. Сами атаки для меня безвредны.