URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 256
[ Назад ]

Исходное сообщение
"Лог апача... Что это?"
Отправлено mix_2002 , 04-Окт-02 19:30

В логах Апача нашел строку
в которой записано что был запрос "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 328
что это значит???
Объясните...
А еще строки были
get /porno.ru 404
как ето понимать?

Содержание

RE: Лог апача... Что это?,ghost, 02:50 , 05-Окт-02
- RE: Лог апача... Что это?,mix_2002, 12:26 , 05-Окт-02
  - RE: Лог апача... Что это?,J, 17:43 , 07-Окт-02
    - RE: Лог апача... Что это?,Pilot, 11:28 , 25-Ноя-02
      - RE: Лог апача... Что это?,Dima, 21:04 , 25-Ноя-02

Сообщения в этом обсуждении

"RE: Лог апача... Что это?"
Отправлено ghost , 05-Окт-02 02:50

Это использование уязвимости переполнения буфера имени переменной в скрипте default.ida. Огромное кол-во "N" для забивки буфера, а конец этой строки должен был переписать адрес возврата из процедуры в стеке. В результате возврат произойдет на конечные байты этой строки и вытащят основное тело червя ;).
/Ghost

"RE: Лог апача... Что это?"
Отправлено mix_2002 , 05-Окт-02 12:26

>Это использование уязвимости переполнения буфера имени переменной в скрипте default.ida. Огромное кол-во
>"N" для забивки буфера, а конец этой строки должен был переписать
>адрес возврата из процедуры в стеке. В результате возврат произойдет на
>конечные байты этой строки и вытащят основное тело червя ;).
>
>/Ghost
Блин, похоже я эаражен. Сегодня пришел и увидел сообщения
ad0: WRITE command time out tag=0 serv=0 - reseting
ata0: reseting devises
Что делать и как лечить? какой патч ставить чтоб не повторилось?
Спасибо

"RE: Лог апача... Что это?"
Отправлено J , 07-Окт-02 17:43

>>Это использование уязвимости переполнения буфера имени переменной в скрипте default.ida. Огромное кол-во
>>"N" для забивки буфера, а конец этой строки должен был переписать
>>адрес возврата из процедуры в стеке. В результате возврат произойдет на
>>конечные байты этой строки и вытащят основное тело червя ;).
>>
>>/Ghost
>
>Блин, похоже я эаражен. Сегодня пришел и увидел сообщения
>ad0: WRITE command time out tag=0 serv=0 - reseting
>ata0: reseting devises
>
>Что делать и как лечить? какой патч ставить чтоб не повторилось?
>
>Спасибо
а что, у вас апач от рута работает?
если больше никаких дырок нет, вряд ли червь получил право обращаться к ata напрямую

"RE: Лог апача... Что это?"
Отправлено Pilot , 25-Ноя-02 11:28

>
>а что, у вас апач от рута работает?
>если больше никаких дырок нет, вряд ли червь получил право обращаться к
>ata напрямую
у меня похоже аналогичная беда, судя по логам апача.
Тогда, как запустить апач не от рута?
И вообще, что бы не забиывали стек или найти того червя?
Спасибо.

"RE: Лог апача... Что это?"
Отправлено Dima , 25-Ноя-02 21:04

IMHO это от IIS дырка.
Для апача не страшно.