форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как поймать хацкера?"
Сообщение от SaneK on 11-Апр-02, 13:21  (MSK)
Господа у меня небольшая проблемка. В логах апачи вот такая вот картинка: ......... [Tue Apr  9 17:59:21 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/MSADC/root.exe [Tue Apr  9 17:59:23 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/c/winnt/system32/cmd.exe [Tue Apr  9 17:59:25 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/d/winnt/system32/cmd.exe [Tue Apr  9 17:59:26 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/scripts/..\../winnt/system32/cmd.exe [Tue Apr  9 17:59:28 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe [Tue Apr  9 17:59:30 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe [Tue Apr  9 17:59:32 2002] [error] [client 194.126.46.4] File does not exist: /usr/local/apache/htdocs/msadc/..\../..\../..\/..A../..A../..A../winnt/system32/cmd.exe ...... Естественно 194.126.46.4 никак к нам не относится. В принципе ничего страшного, тем паче что уменя не винда. Что делать? Как Обезопаситься от таких попыток? Спасибо за внимание.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Как поймать хацкера?"
Сообщение от Сергей on 11-Апр-02, 15:34  (MSK)
Напиши скрипт чтоб он анализировал логи на такую фигню, делал whois по ip и посылал кусок лога на abuse того домена (последниие два слова типа abuse@stupidprovider.ru) откуда этот недоумок. И повесь на cron чтоб он каждый час запускался. Как увидишь новый тип атак - апгрейдь скрипт, пусть он и другие логи смотрит, фаервол, portsentry и тд, У меня один кореш так боролся с попытками законнектиться на 139 порт... PS Меня не спрашивай, я сам чайник и задаю тут всем вопросы....
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Как поймать хацкера?"
	Сообщение от Garry on 11-Апр-02, 16:04  (MSK)
	Гы. Хорошая статья была на эту тему про IBS и ее админа, давно я ее читал, вышел по ссылкам с rikn.ru. Там ясно сказано, что никого ты не поймаешь, только если придурка модемного какого нить. А в твоем случае хакером и не пахнет, червяки это. У меня тоже лог этим дерьмом был забит, но мне апаш наружу не нужен и я его прикрыл.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Как поймать хацкера?"
Сообщение от Medlar on 11-Апр-02, 16:35  (MSK)
ключевое слово в этих логах winnt :) Это интернет-червь nimbda рыщет  по сети в поисках уязвимых NT-серверов с установленным IIS4.0/IIS5.0 >Господа у меня небольшая проблемка Так что это проблема огромнущая (т.к. этим червем поражены сайты MS, DELL, etc) , но, к счастью, не ваша :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.