URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 16027
[ Назад ]

Исходное сообщение
"Как поймать хацкера?"
Отправлено SaneK , 11-Апр-02 13:21

Господа у меня небольшая проблемка. В логах апачи вот такая вот картинка:
.........
[Tue Apr  9 17:59:21 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/MSADC/root.exe
[Tue Apr  9 17:59:23 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/c/winnt/system32/cmd.exe
[Tue Apr  9 17:59:25 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/d/winnt/system32/cmd.exe
[Tue Apr  9 17:59:26 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/scripts/..\../winnt/system32/cmd.exe
[Tue Apr  9 17:59:28 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe
[Tue Apr  9 17:59:30 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe
[Tue Apr  9 17:59:32 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/msadc/..\../..\../..\/..A../..A../..A../winnt/system32/cmd.exe
......
Естественно 194.126.46.4 никак к нам не относится.
В принципе ничего страшного, тем паче что уменя не винда.

Что делать? Как Обезопаситься от таких попыток?
Спасибо за внимание.

Содержание

RE: Как поймать хацкера?,Сергей, 15:34 , 11-Апр-02
- RE: Как поймать хацкера?,Garry, 16:04 , 11-Апр-02
RE: Как поймать хацкера?,Medlar, 16:35 , 11-Апр-02

Сообщения в этом обсуждении

"RE: Как поймать хацкера?"
Отправлено Сергей , 11-Апр-02 15:34

Напиши скрипт чтоб он анализировал логи на такую фигню, делал whois по ip и посылал кусок лога на abuse того домена (последниие два слова типа abuse@stupidprovider.ru) откуда этот недоумок. И повесь на cron чтоб он каждый час запускался.
Как увидишь новый тип атак - апгрейдь скрипт, пусть он и другие логи смотрит, фаервол, portsentry и тд,
У меня один кореш так боролся с попытками законнектиться на 139 порт...
PS Меня не спрашивай, я сам чайник и задаю тут всем вопросы....

"RE: Как поймать хацкера?"
Отправлено Garry , 11-Апр-02 16:04

Гы. Хорошая статья была на эту тему про IBS и ее админа, давно я ее читал, вышел по ссылкам с rikn.ru. Там ясно сказано, что никого ты не поймаешь, только если придурка модемного какого нить. А в твоем случае хакером и не пахнет, червяки это. У меня тоже лог этим дерьмом был забит, но мне апаш наружу не нужен и я его прикрыл.

"RE: Как поймать хацкера?"
Отправлено Medlar , 11-Апр-02 16:35

ключевое слово в этих логах winnt :)
Это интернет-червь nimbda рыщет по сети в поисках уязвимых NT-серверов с установленным IIS4.0/IIS5.0
>Господа у меня небольшая проблемка
Так что это проблема огромнущая (т.к. этим червем поражены сайты MS, DELL, etc) , но, к счастью, не ваша :)