forum.opennet.ru - "Апач" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Апач"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Апач"
Сообщение от pantera on 12-Авг-02, 18:13 (MSK)
Просматривая логи, я каждый день наблюдаю такие строчки типа http://server.com/scriptsляляляляляcmd.exe и так далее. Апачу они пофиг, в еррорс пишет что файл не найден и все... Но надо как то решить вопрос с такими умниками, "кул хайками". В связи с этим вопрос, написан ли уже скрипт, который проверя логи апача, и видя такие строчки, отсылает провайдеру кул хацкера, письмо о том что была произведена атака или скан моего веб-сервиса, и пусть примет меры. Если нет, то чтож придется самому творить. И еще вопрос, а что если в апаче сделать так, что бы он отзывался на такие пути, то есть не считал их ошибочными а перенаправлял запрос на какой-нибудь ресурс, где есть энтот самый cmd.exe который будет трояном.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Апач, anonymous, 21:01 , 12-Авг-02, (1)
- RE: Апач, Pantera, 09:29 , 13-Авг-02, (2)
  - RE: Апач, Dawnshade, 09:50 , 13-Авг-02, (3)
    - RE: Апач, Pantera, 11:16 , 13-Авг-02, (5)
  - RE: Апач, Аноним, 10:40 , 13-Авг-02, (4)
    - RE: Апач, Pantera, 11:22 , 13-Авг-02, (6)
      - RE: Апач, Аноним, 11:44 , 13-Авг-02, (7)
RE: Апач, Vladon, 16:12 , 13-Авг-02, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Апач"

Сообщение от anonymous on 12-Авг-02, 21:01  (MSK)

Sorry for English.
This is not a кул хацкер, but a poor guy infected with Nimda or Code Red.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Апач"

Сообщение от Pantera on 13-Авг-02, 09:29  (MSK)

>Sorry for English.
>
>This is not a кул хацкер, but a poor guy infected with
>Nimda or Code Red.
Пофиг. Пускай тогда апач, когда такой запрос идет, выдаст страничку что чел возможно заражен вирусом. Как это сделать?
Вопрос про скрипт остается в силе.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Апач"

Сообщение от Dawnshade on 13-Авг-02, 09:50  (MSK)

Наскоко помню был такой модуль под апач. С пхп. Посмотри search.cpan.org.
Токо тогда ты на траффике от этих мыл разоришься. :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Апач"

Сообщение от Pantera on 13-Авг-02, 11:16  (MSK)

>Наскоко помню был такой модуль под апач. С пхп. Посмотри search.cpan.org.
>Токо тогда ты на траффике от этих мыл разоришься. :)
Хотя бы скажи как он зовется, а то там столько всего, что ...
А на траффике я не зазорюсь, он у меня анлимитед.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Апач"

Сообщение от Аноним on 13-Авг-02, 10:40  (MSK)

>>Sorry for English.
>>
>>This is not a кул хацкер, but a poor guy infected with
>>Nimda or Code Red.
>Пофиг. Пускай тогда апач, когда такой запрос идет, выдаст страничку что чел
>возможно заражен вирусом. Как это сделать?
>Вопрос про скрипт остается в силе.
Элементарно (Watson).
В httpd.conf пишем:
AddType application/x-httpd-php .exe
После чего, создаем файл $(HTDOCS)/root.exe, начиная его со слов <?php и т.д.
Далее, читаем php help (zend.com), о том, как послать почту.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Апач"

Сообщение от Pantera on 13-Авг-02, 11:22  (MSK)

>>>Sorry for English.
>>>
>>>This is not a кул хацкер, but a poor guy infected with
>>>Nimda or Code Red.
>>Пофиг. Пускай тогда апач, когда такой запрос идет, выдаст страничку что чел
>>возможно заражен вирусом. Как это сделать?
>>Вопрос про скрипт остается в силе.
>
>Элементарно (Watson).
>
>В httpd.conf пишем:
>
>AddType application/x-httpd-php .exe
>
>После чего, создаем файл $(HTDOCS)/root.exe, начиная его со слов <?php и т.д.
>
>Далее, читаем php help (zend.com), о том, как послать почту.
Для тебя элементарно, а для меня нет.Ситуация такая:поставил Фри с апачем,
сайт писал не я, а мой товарищ, сейчас его временно нет, а проблему решить надо.Насчет первой строчки я понял, а вот вторую...
Можно поподробней?

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Апач"

Сообщение от Аноним on 13-Авг-02, 11:44  (MSK)

>>>>Sorry for English.
>>>>
>>>>This is not a кул хацкер, but a poor guy infected with
>>>>Nimda or Code Red.
>>>Пофиг. Пускай тогда апач, когда такой запрос идет, выдаст страничку что чел
>>>возможно заражен вирусом. Как это сделать?
>>>Вопрос про скрипт остается в силе.
>>
>>Элементарно (Watson).
>>
>>В httpd.conf пишем:
>>
>>AddType application/x-httpd-php .exe
>>
>>После чего, создаем файл $(HTDOCS)/root.exe, начиная его со слов <?php и т.д.
>>
>>Далее, читаем php help (zend.com), о том, как послать почту.
>
>Для тебя элементарно, а для меня нет.Ситуация такая:поставил Фри с апачем,
>сайт писал не я, а мой товарищ, сейчас его временно нет, а
>проблему решить надо.Насчет первой строчки я понял, а вот вторую...
>Можно поподробней?
$(HTDOCS) это скорее всего /usr/local/apаche/htdocs, т.е. место,
которое апач считает началом мироздания. В этом каталого надо создать каталог scripts, и в нем поместить файл root.exe (то, что nimda хочет).
Содержимое его (файла) зависит от Ваших амбиций.
Я скромно собираю коллекцию зараженных бедолаг
( <?php error_log("$_SERVER[REMOTE_ADDR]", 3, "nimda.log") ?> )
Можно пытаться посылать письма, но... если админ полгода не знает, что
его сайт заражен, то письмами это не лечится.
Можно пытаться завалить больного еще раз -- имея в виду его tftp клиента, но это, imho, аморально. Да и не у всех он есть.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Апач"

Сообщение от Vladon on 13-Авг-02, 16:12  (MSK)

Pantera, не мучайся и не выдумывай ни чего. Тебе запросы такого рода пофиг - соответственно проблемы нет, о которой пишеш. А посылает их зараженные Nimdoй M$ IIS. Поверь, проверено на практике, толку от рассылок почты не будет, (кроме как сеть зря будеш грузить) по причине того, что это все мертвые серваки, подобные "летучему голандцу". Админы там не появляются никогда, посему пущай помирают потихоньку (микрософтовские они...). А если тебе не нравится что они ходят к тебе - зарубай доступ с их IP, и не переживай что ихние пользователи не смогут к тебе на сайт зайти или мыло сбросить. Я очень сомневаюсь, что это сервера Интернет - провайдеров.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Апач"
Сообщение от anonymous on 12-Авг-02, 21:01 (MSK)
Sorry for English. This is not a кул хацкер, but a poor guy infected with Nimda or Code Red.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Апач"
	Сообщение от Pantera on 13-Авг-02, 09:29 (MSK)
	>Sorry for English. > >This is not a кул хацкер, but a poor guy infected with >Nimda or Code Red. Пофиг. Пускай тогда апач, когда такой запрос идет, выдаст страничку что чел возможно заражен вирусом. Как это сделать? Вопрос про скрипт остается в силе.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Апач"
	Сообщение от Dawnshade on 13-Авг-02, 09:50 (MSK)
	Наскоко помню был такой модуль под апач. С пхп. Посмотри search.cpan.org. Токо тогда ты на траффике от этих мыл разоришься. :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Апач"
	Сообщение от Pantera on 13-Авг-02, 11:16 (MSK)
	>Наскоко помню был такой модуль под апач. С пхп. Посмотри search.cpan.org. >Токо тогда ты на траффике от этих мыл разоришься. :) Хотя бы скажи как он зовется, а то там столько всего, что ... А на траффике я не зазорюсь, он у меня анлимитед.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Апач"
	Сообщение от Аноним on 13-Авг-02, 10:40 (MSK)
	>>Sorry for English. >> >>This is not a кул хацкер, but a poor guy infected with >>Nimda or Code Red. >Пофиг. Пускай тогда апач, когда такой запрос идет, выдаст страничку что чел >возможно заражен вирусом. Как это сделать? >Вопрос про скрипт остается в силе. Элементарно (Watson). В httpd.conf пишем: AddType application/x-httpd-php .exe После чего, создаем файл $(HTDOCS)/root.exe, начиная его со слов <?php и т.д. Далее, читаем php help (zend.com), о том, как послать почту.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Апач"
	Сообщение от Pantera on 13-Авг-02, 11:22 (MSK)
	>>>Sorry for English. >>> >>>This is not a кул хацкер, but a poor guy infected with >>>Nimda or Code Red. >>Пофиг. Пускай тогда апач, когда такой запрос идет, выдаст страничку что чел >>возможно заражен вирусом. Как это сделать? >>Вопрос про скрипт остается в силе. > >Элементарно (Watson). > >В httpd.conf пишем: > >AddType application/x-httpd-php .exe > >После чего, создаем файл $(HTDOCS)/root.exe, начиная его со слов <?php и т.д. > >Далее, читаем php help (zend.com), о том, как послать почту. Для тебя элементарно, а для меня нет.Ситуация такая:поставил Фри с апачем, сайт писал не я, а мой товарищ, сейчас его временно нет, а проблему решить надо.Насчет первой строчки я понял, а вот вторую... Можно поподробней?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Апач"
	Сообщение от Аноним on 13-Авг-02, 11:44 (MSK)
	>>>>Sorry for English. >>>> >>>>This is not a кул хацкер, but a poor guy infected with >>>>Nimda or Code Red. >>>Пофиг. Пускай тогда апач, когда такой запрос идет, выдаст страничку что чел >>>возможно заражен вирусом. Как это сделать? >>>Вопрос про скрипт остается в силе. >> >>Элементарно (Watson). >> >>В httpd.conf пишем: >> >>AddType application/x-httpd-php .exe >> >>После чего, создаем файл $(HTDOCS)/root.exe, начиная его со слов <?php и т.д. >> >>Далее, читаем php help (zend.com), о том, как послать почту. > >Для тебя элементарно, а для меня нет.Ситуация такая:поставил Фри с апачем, >сайт писал не я, а мой товарищ, сейчас его временно нет, а >проблему решить надо.Насчет первой строчки я понял, а вот вторую... >Можно поподробней? $(HTDOCS) это скорее всего /usr/local/apаche/htdocs, т.е. место, которое апач считает началом мироздания. В этом каталого надо создать каталог scripts, и в нем поместить файл root.exe (то, что nimda хочет). Содержимое его (файла) зависит от Ваших амбиций. Я скромно собираю коллекцию зараженных бедолаг ( <?php error_log("$_SERVER[REMOTE_ADDR]", 3, "nimda.log") ?> ) Можно пытаться посылать письма, но... если админ полгода не знает, что его сайт заражен, то письмами это не лечится. Можно пытаться завалить больного еще раз -- имея в виду его tftp клиента, но это, imho, аморально. Да и не у всех он есть.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

8. "RE: Апач"
Сообщение от Vladon on 13-Авг-02, 16:12 (MSK)
Pantera, не мучайся и не выдумывай ни чего. Тебе запросы такого рода пофиг - соответственно проблемы нет, о которой пишеш. А посылает их зараженные Nimdoй M$ IIS. Поверь, проверено на практике, толку от рассылок почты не будет, (кроме как сеть зря будеш грузить) по причине того, что это все мертвые серваки, подобные "летучему голандцу". Админы там не появляются никогда, посему пущай помирают потихоньку (микрософтовские они...). А если тебе не нравится что они ходят к тебе - зарубай доступ с их IP, и не переживай что ихние пользователи не смогут к тебе на сайт зайти или мыло сбросить. Я очень сомневаюсь, что это сервера Интернет - провайдеров.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх