URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 84
[ Назад ]

Исходное сообщение
"Как поймать хацкера?"
Отправлено SaneK , 11-Апр-02 14:02

Господа у меня небольшая проблемка. В логах апачи вот такая вот картинка:
.........
[Tue Apr  9 17:59:21 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/MSADC/root.exe
[Tue Apr  9 17:59:23 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/c/winnt/system32/cmd.exe
[Tue Apr  9 17:59:25 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/d/winnt/system32/cmd.exe
[Tue Apr  9 17:59:26 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/scripts/..\../winnt/system32/cmd.exe
[Tue Apr  9 17:59:28 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe
[Tue Apr  9 17:59:30 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe
[Tue Apr  9 17:59:32 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/msadc/..\../..\../..\/..A../..A../..A../winnt/system32/cmd.exe
......
Естественно 194.126.46.4 никак к нам не относится.
В принципе ничего страшного, тем паче что уменя не винда.
Что делать? Как Обезопаситься от таких попыток?
Спасибо за внимание.

Содержание

RE: Как поймать хацкера?,smooth, 12:08 , 12-Апр-02
- RE: Как поймать хацкера?,interprise, 16:18 , 15-Апр-02
  - RE: Как поймать хацкера?,chroot, 02:19 , 18-Апр-02
RE: Как поймать хацкера?,chroot, 02:15 , 18-Апр-02
- RE: Как поймать хацкера?,interprise, 20:37 , 18-Апр-02
  - RE: Как поймать хацкера?,СтарыйХ, 11:55 , 30-Апр-02
    - RE: Как поймать хацкера?,kenzzo, 09:27 , 06-Май-02
      - RE: Как поймать хацкера?,amber46, 01:35 , 07-Май-02

Сообщения в этом обсуждении

"RE: Как поймать хацкера?"
Отправлено smooth , 12-Апр-02 12:08

>Господа у меня небольшая проблемка. В
>логах апачи вот такая вот
>картинка:
>.........
>[Tue Apr  9 17:59:21 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/MSADC/root.exe
>[Tue Apr  9 17:59:23 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/c/winnt/system32/cmd.exe
>[Tue Apr  9 17:59:25 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/d/winnt/system32/cmd.exe
>[Tue Apr  9 17:59:26 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/scripts/..\../winnt/system32/cmd.exe
>[Tue Apr  9 17:59:28 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe
>[Tue Apr  9 17:59:30 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe
>[Tue Apr  9 17:59:32 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/msadc/..\../..\../..\/..A../..A../..A../winnt/system32/cmd.exe
>......
>
>Естественно 194.126.46.4 никак к нам не
>относится.
>В принципе ничего страшного, тем паче
>что уменя не винда.
>
>Что делать? Как Обезопаситься от таких
>попыток?
>
>Спасибо за внимание.
какой смысл вообще что-то делать если стоит млин не винда - я не понимаю пусть себе ломиться ))) его траблы
если уж в конец достал отрежь файрволом весь трафик с этого айпи
мне кажеться только что это не сам кулл хацкер работает а скрипт его шерстит сети и всё это нормально

"RE: Как поймать хацкера?"
Отправлено interprise , 15-Апр-02 16:18

>>Естественно 194.126.46.4 никак к нам не
>>относится.
>>В принципе ничего страшного, тем паче
>>что уменя не винда.
>>
>>Что делать? Как Обезопаситься от таких
>>попыток?
>>
>>Спасибо за внимание.
>какой смысл вообще что-то делать если
>стоит млин не винда -
>я не понимаю пусть себе
>ломиться ))) его траблы
>если уж в конец достал отрежь
>файрволом весь трафик с этого
>айпи
>мне кажеться только что это не
>сам кулл хацкер работает а
>скрипт его шерстит сети и
>всё это нормально
не парьтесь вы, это просто вирус виндюковый наподобии CODERED
ничего с ним не сделать в принципе

"RE: Как поймать хацкера?"
Отправлено chroot , 18-Апр-02 02:19

ОБРАТИСЬ В ОТДЕЛ "Р" идёш к господам в погонах и говориш меня хакнули помогут

"RE: Как поймать хацкера?"
Отправлено chroot , 18-Апр-02 02:15

>Господа у меня небольшая проблемка. В
>логах апачи вот такая вот
>картинка:
>.........
>[Tue Apr  9 17:59:21 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/MSADC/root.exe
>[Tue Apr  9 17:59:23 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/c/winnt/system32/cmd.exe
>[Tue Apr  9 17:59:25 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/d/winnt/system32/cmd.exe
>[Tue Apr  9 17:59:26 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/scripts/..\../winnt/system32/cmd.exe
>[Tue Apr  9 17:59:28 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe
>[Tue Apr  9 17:59:30 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe
>[Tue Apr  9 17:59:32 2002]
>[error] [client 194.126.46.4] File does
>not exist: /usr/local/apache/htdocs/msadc/..\../..\../..\/..A../..A../..A../winnt/system32/cmd.exe
>......
>
>Естественно 194.126.46.4 никак к нам не
>относится.
>В принципе ничего страшного, тем паче
>что уменя не винда.
>
>Что делать? Как Обезопаситься от таких
>попыток?
>
>Спасибо за внимание.
+++++++++++++++++++
да будь попроще ребёнок секюрити сканер юзал
если у тебя дырявых скриптов нету то некепешуй
а если сильно нада заловить его то
nslookup 194.126.46.4 смотриш домен и катаеш телегу админу если не помогло то обращяещся в отдел "Р" они его сами отловят !!

"RE: Как поймать хацкера?"
Отправлено interprise , 18-Апр-02 20:37

Ребята вы как будто с луны свалились какой отдел 'P' вы о чем ?
вы админы или погулять вышли ?
ЭТО ВСЕГО ЛИШ САМОРАСПРОСТРАНЯЮЩИЙСЯ ВИРУС КОТОРЫЙ ИЩЕТ IIS ЕСЛИ НАХОДИТ ТО ЛОМИТСЯ КУДА НАПИСАНО В ЛОГАХ !!!
убивать владельца IP бесполезно так как он врядли догадывается что заражен!
p.s У меня на 10 виртуальных серверах и канале Т1 таких запросов в логах 600к в день на сервер, и чтоже теперь пол интернета отрезать ;)
p.s.s это крик души , так как читать такое просто невозможно.

"RE: Как поймать хацкера?"
Отправлено СтарыйХ , 30-Апр-02 11:55

Intrprise совершенно прав.
Непонятно что вы, ребята делали, когда была Нимда.
В те времена сложно было найти зеленую строчку в логе файрвола, все было забито этой фигней.

"RE: Как поймать хацкера?"
Отправлено kenzzo , 06-Май-02 09:27

ну так а делать-то что??
у меня та же фигня
и что если найдут все-таки этот файл?

"RE: Как поймать хацкера?"
Отправлено amber46 , 07-Май-02 01:35

>ну так а делать-то что??
>у меня та же фигня
>и что если найдут все-таки этот
>файл?

:) Ну закрой.
<Files ~ "\.exe">
Order allow,deny
Deny from all
</Files>