forum.opennet.ru - "Что это могло быть?" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Что это могло быть?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Что это могло быть?"
Сообщение от DmitryDemin on 20-Июл-01, 21:03 (MSK)
Hi! Из лога апача - 207.149.238.150 - - [20/Jul/2001:01:45:21 +0000] "GET /default.ida?NNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u909 0%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00% u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 380 Было несколько таких запросов, что это может быть? Проверяют на "дырявость" или поисковик какой работает? трасероут на эти адреса выдает малоговорящие, скорее всего диалапные имена. Всего хорошего! С уважением, Dmitry.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Что это могло быть?, lavr, 18:57 , 22-Июл-01, (1)
- RE: Что это могло быть?, DmitryDemin, 22:41 , 23-Июл-01, (2)
  - RE: Что это могло быть?, lavr, 01:13 , 24-Июл-01, (3)
    - RE: Что это могло быть?, DmitryDemin, 18:33 , 24-Июл-01, (4)
      - RE: Что это могло быть?, NKritsky, 16:28 , 25-Июл-01, (5)
      - RE: Что это могло быть?, lavr, 17:14 , 25-Июл-01, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Что это могло быть?"

Сообщение от lavr on 22-Июл-01, 18:57  (MSK)

>Hi! Из лога апача -
>207.149.238.150 - - [20/Jul/2001:01:45:21 +0000] "GET
>/default.ida?NNNNNNNNNNNNN
>NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
>NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
>NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u909
>0%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
>u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 400 380
>
>Было несколько таких запросов, что это
>может быть? Проверяют на "дырявость"
>или поисковик какой работает? трасероут
>на эти адреса выдает малоговорящие,
>скорее всего диалапные имена.
Code-Red Warm:
http://aris.securityfocus.com/alerts/codered
Patches
Windows NT 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
Windows 2000: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
Наверняка клиенты уже нацепляли...
>Всего хорошего!
>С уважением, Dmitry.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Что это могло быть?"

Сообщение от DmitryDemin on 23-Июл-01, 22:41  (MSK)

Hi! Да, я об этом вирусе уже узнал через пару часов из новостей. Клиенты нацепляли? Так у меня же FreeBSD стоит и как видно из логов - апач не пропустил этот запрос.
Всего хорошего!
С уважением, Dmitry.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Что это могло быть?"

Сообщение от lavr on 24-Июл-01, 01:13  (MSK)

>Hi! Да, я об этом вирусе
>уже узнал через пару часов
>из новостей. Клиенты нацепляли? Так
>у меня же FreeBSD стоит
>и как видно из логов
>- апач не пропустил этот
>запрос.
:)))))))))))) дык ессесно, потому как он
compromise IIS и производит Syn-flood атаки
А вот узнать это следовало две недели назад
из security mail-lists
>Всего хорошего!
>С уважением, Dmitry.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Что это могло быть?"

Сообщение от DmitryDemin on 24-Июл-01, 18:33  (MSK)

Hi! А вот скажи, пожалуйста, где и как подписаться на эти мейл-листы?
Всего хорошего!
С уважением, Dmitry.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Что это могло быть?"

Сообщение от NKritsky on 25-Июл-01, 16:28  (MSK)

http://securityfocus.com - общий для всех систем
+ посмотри на сайте своей ОС и/или основных софтин имеющих выход в инет (апач, почтовики итд)

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Что это могло быть?"

Сообщение от lavr on 25-Июл-01, 17:14  (MSK)

>Hi! А вот скажи, пожалуйста, где
>и как подписаться на эти
>мейл-листы?

http://www.cert.org/contact_cert/certmaillist.html - Cert
там же: http://www.securityfocus.com/
нужные разделы из Maillist
http://www.sans.org/newlook/digests/index.htm
- Sans
http://xforce.iss.net/maillists/index.php - ISS
http://noc.jinr.ru/NOC/inf_syst_adm.htm - там
есть некоторые ссылки.
>Всего хорошего!
>С уважением, Dmitry.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Что это могло быть?"
Сообщение от lavr on 22-Июл-01, 18:57 (MSK)
>Hi! Из лога апача - >207.149.238.150 - - [20/Jul/2001:01:45:21 +0000] "GET >/default.ida?NNNNNNNNNNNNN >NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN >NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN >NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u909 >0%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00% >u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 380 > >Было несколько таких запросов, что это >может быть? Проверяют на "дырявость" >или поисковик какой работает? трасероут >на эти адреса выдает малоговорящие, >скорее всего диалапные имена. Code-Red Warm: http://aris.securityfocus.com/alerts/codered Patches Windows NT 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833 Windows 2000: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800 Наверняка клиенты уже нацепляли... >Всего хорошего! >С уважением, Dmitry.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Что это могло быть?"
	Сообщение от DmitryDemin on 23-Июл-01, 22:41 (MSK)
	Hi! Да, я об этом вирусе уже узнал через пару часов из новостей. Клиенты нацепляли? Так у меня же FreeBSD стоит и как видно из логов - апач не пропустил этот запрос. Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Что это могло быть?"
	Сообщение от lavr on 24-Июл-01, 01:13 (MSK)
	>Hi! Да, я об этом вирусе >уже узнал через пару часов >из новостей. Клиенты нацепляли? Так >у меня же FreeBSD стоит >и как видно из логов >- апач не пропустил этот >запрос. :)))))))))))) дык ессесно, потому как он compromise IIS и производит Syn-flood атаки А вот узнать это следовало две недели назад из security mail-lists >Всего хорошего! >С уважением, Dmitry.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Что это могло быть?"
	Сообщение от DmitryDemin on 24-Июл-01, 18:33 (MSK)
	Hi! А вот скажи, пожалуйста, где и как подписаться на эти мейл-листы? Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Что это могло быть?"
	Сообщение от NKritsky on 25-Июл-01, 16:28 (MSK)
	http://securityfocus.com - общий для всех систем + посмотри на сайте своей ОС и/или основных софтин имеющих выход в инет (апач, почтовики итд)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Что это могло быть?"
	Сообщение от lavr on 25-Июл-01, 17:14 (MSK)
	>Hi! А вот скажи, пожалуйста, где >и как подписаться на эти >мейл-листы? http://www.cert.org/contact_cert/certmaillist.html - Cert там же: http://www.securityfocus.com/ нужные разделы из Maillist http://www.sans.org/newlook/digests/index.htm - Sans http://xforce.iss.net/maillists/index.php - ISS http://noc.jinr.ru/NOC/inf_syst_adm.htm - там есть некоторые ссылки. >Всего хорошего! >С уважением, Dmitry.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх