URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1276
[ Назад ]

Исходное сообщение
"Что за эксплоит"
Отправлено zhr , 13-Апр-04 07:51

Сегодня в логах Apache обнаружил следующее
217.224.241.118 - - [12/Apr/2004:22:03:51 +0700]"SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 ... и т.д. ... 414 367 "-" "-"
Общая длина запроса около 28800 символов, ее чуть не помер пока до конца строке не добрался. Видно что сервер запрос отфутболил, но хотелось бы занть что эт такое было ?
Сильно смахиват на попытку переполнить буфер и загрузить свой код в память.

Содержание

Что за эксплоит,ra, 13:14 , 13-Апр-04
- Что за эксплоит,zhr, 15:29 , 13-Апр-04
  - Что за эксплоит,scum, 12:24 , 16-Апр-04
    - Что за эксплоит,zhr, 14:13 , 16-Апр-04
  - Что за эксплоит,ultrafire ES, 23:52 , 17-Сен-04

Сообщения в этом обсуждении

"Что за эксплоит"
Отправлено ra , 13-Апр-04 13:14

Кто-то хочет или сломать хост или сканит чем-нибудь вроде SSS, XSpider.

"Что за эксплоит"
Отправлено zhr , 13-Апр-04 15:29

Блин ... опять.
На этот раз адрес правда другой
217.129.118.46
Знать бы против чего это атака. Если в расчёте на то что IIS стоит, то и фиг с ним. А если в Apache дыра :(

"Что за эксплоит"
Отправлено scum , 16-Апр-04 12:24

Трудно судить точно, что это такое, нало смотреть всю строку запроса. Но если исходить из строки "\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1" и т.д., то это очень похоже на buffer overflow shell script. Попробуй скачать правила для снорта на http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.ta...
и поищи свою строку там.

"Что за эксплоит"
Отправлено zhr , 16-Апр-04 14:13

>Трудно судить точно, что это такое, нало смотреть всю строку запроса. Но
>если исходить из строки "\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1" и т.д., то это очень похоже
>на buffer overflow shell script. Попробуй скачать правила для снорта на
>http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.ta...
>и поищи свою строку там.
Ну да. В правилах snort есть что то похожее
90 : набор юникод симолов : чередование 90 00 90 00
из рязряда buffer overflow shell script. И таких записей в логах 3-4 задень.
Все с европейских adsl провайдеров (всегда разных). Неделя вообще ж началась с того что понедельник-вторник clamav прибивал 70-80 писем с вирусняками (эт на не большую фирму) плюс всякие мелочи аля залогинится по ssh и прощупывание на предмет открытого прокси.
От мании приследования спасает тока мысль, что эт кого-то по старой памяти ... я в пятницу (прошлую) на новый блок IP адресов перешёл :))

"Что за эксплоит"
Отправлено ultrafire ES , 17-Сен-04 23:52

>Знать бы против чего это атака. Если в расчёте на то что
>IIS стоит, то и фиг с ним. А если в Apache
>дыра :(
Да эта атака на IIS так что не боись, у самого такая бяка случилася...
Это эксплоит для WebDAV... Переполнение буфера в ntdll.dll...