forum.opennet.ru - "Вопрос по безопасности" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Вопрос по безопасности"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос по безопасности"
Сообщение от Varyag on 29-Апр-03, 20:36 (MSK)
Есть веб-сервер.Можно ли сказать по этим логам что пытался сделать злоумышленник на этот веб-сервере по этим логам?Буду признателен за помощь 192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/cal_make.pl?p0=../../../../../../../../../../../../etc/passwd HTTP/1.0" 404 282 "-" "-" 192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /cgi-bin/dcboard.cgi HTTP/1.0" 404 0 "-" "-" 192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/nph-maillist.pl HTTP/1.0" 404 286 "-" "-" 192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/talkback.cgi?article=../../../../../../../../etc/passwd&action=view&matchview=1 HTTP/1.0" 404 283 "-" "-" 192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/ustorekeeper.pl?command=goto&file=../../../../../../../../../../etc/passwd HTTP/1.0" 404 286 "-" "-" 192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 0 "-" "-" 192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /foldoc/ HTTP/1.0" 404 0 "-" "-" 192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 0 "-" "-" 192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/store.cgi?StartID=../etc/passwd.html HTTP/1.0" 404 280 "-" "-" 192.1.100.68 - - [27/Apr/2003:14:26:13 +0400] "HEAD /cgi-bin/simplestguest.cgi HTTP/1.0" 404 0 "-" "-"
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Вопрос по безопасности, Simon, 20:56 , 29-Апр-03, (1)
- Вопрос по безопасности, Varyag, 22:43 , 29-Апр-03, (2)
  - Вопрос по безопасности, LS, 00:08 , 30-Апр-03, (3)
- Вопрос по безопасности, Paul, 14:33 , 12-Май-03, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вопрос по безопасности"

Сообщение от Simon on 29-Апр-03, 20:56  (MSK)

>Есть веб-сервер.Можно ли сказать по этим логам что пытался сделать злоумышленник на
>этот веб-сервере по этим логам?Буду признателен за помощь
>
>192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/cal_make.pl?p0=../../../../../../../../../../../../etc/passwd  HTTP/1.0" 404 282 "-"
>
>"-"
>192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /cgi-bin/dcboard.cgi HTTP/1.0" 404 0 "-" "-"
>
>192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/nph-maillist.pl HTTP/1.0" 404 286 "-" "-"
>
>192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/talkback.cgi?article=../../../../../../../../etc/passwd &action=view&matchview=1
>
>HTTP/1.0" 404 283 "-" "-"
>192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/ustorekeeper.pl?command=goto&file=../../../../../../../../../../etc/passwd HTTP/1.0"
>
>404 286 "-" "-"
>192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 0 "-" "-"
>
>192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /foldoc/ HTTP/1.0" 404 0 "-" "-"
>
>192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 0 "-" "-"
>
>192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/store.cgi?StartID=../etc/passwd .html HTTP/1.0" 404 280 "-" "-"
>
>192.1.100.68 - - [27/Apr/2003:14:26:13 +0400] "HEAD /cgi-bin/simplestguest.cgi HTTP/1.0" 404 0 "-" "-"
>

4-е попытки прочитать файл /etc/passwd
Предполагалось что WWW сервер под *nix -ами
Хотя возможно что кто-то решил проверить устойчивость сервера security scaner-ом на предмет дырявых скриптов.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Вопрос по безопасности"

Сообщение от Varyag on 29-Апр-03, 22:43  (MSK)

>
>4-е попытки прочитать файл /etc/passwd
>Предполагалось что WWW сервер под *nix -ами
>Хотя возможно что кто-то решил проверить устойчивость сервера security scaner-ом на предмет
>дырявых скриптов.
Спасибо.
А как закрыть доступ на веб-сервер(средствами веб-сервера) IP , с которого шли запросы?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Вопрос по безопасности"

Сообщение от LS on 30-Апр-03, 00:08  (MSK)

>
>Спасибо.
>А как закрыть доступ на веб-сервер(средствами веб-сервера) IP , с которого шли
>запросы?

Не надо делать все через всем известное место... Для решения этой задачи существуют firewall.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Вопрос по безопасности"

Сообщение от Paul on 12-Май-03, 14:33  (MSK)

файрволами тут не обойдешься. закроешь один айпи - появится другой. лучше укреплять секьюрити самого веб-сервера, путем апгрейда последнего. Также для эффективного контроля можно поставить какую-нить IDS, например, SNORT. (www.snort.org)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вопрос по безопасности"
Сообщение от Simon on 29-Апр-03, 20:56 (MSK)
>Есть веб-сервер.Можно ли сказать по этим логам что пытался сделать злоумышленник на >этот веб-сервере по этим логам?Буду признателен за помощь > >192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/cal_make.pl?p0=../../../../../../../../../../../../etc/passwd HTTP/1.0" 404 282 "-" > >"-" >192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /cgi-bin/dcboard.cgi HTTP/1.0" 404 0 "-" "-" > >192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/nph-maillist.pl HTTP/1.0" 404 286 "-" "-" > >192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/talkback.cgi?article=../../../../../../../../etc/passwd &action=view&matchview=1 > >HTTP/1.0" 404 283 "-" "-" >192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/ustorekeeper.pl?command=goto&file=../../../../../../../../../../etc/passwd HTTP/1.0" > >404 286 "-" "-" >192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /cgi-bin/ikonboard/ HTTP/1.0" 404 0 "-" "-" > >192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /foldoc/ HTTP/1.0" 404 0 "-" "-" > >192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "HEAD /cgi-bin/adcycle/ HTTP/1.0" 404 0 "-" "-" > >192.1.100.68 - - [27/Apr/2003:14:26:14 +0400] "GET /cgi-bin/store.cgi?StartID=../etc/passwd .html HTTP/1.0" 404 280 "-" "-" > >192.1.100.68 - - [27/Apr/2003:14:26:13 +0400] "HEAD /cgi-bin/simplestguest.cgi HTTP/1.0" 404 0 "-" "-" > 4-е попытки прочитать файл /etc/passwd Предполагалось что WWW сервер под *nix -ами Хотя возможно что кто-то решил проверить устойчивость сервера security scaner-ом на предмет дырявых скриптов.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Вопрос по безопасности"
	Сообщение от Varyag on 29-Апр-03, 22:43 (MSK)
	> >4-е попытки прочитать файл /etc/passwd >Предполагалось что WWW сервер под *nix -ами >Хотя возможно что кто-то решил проверить устойчивость сервера security scaner-ом на предмет >дырявых скриптов. Спасибо. А как закрыть доступ на веб-сервер(средствами веб-сервера) IP , с которого шли запросы?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Вопрос по безопасности"
	Сообщение от LS on 30-Апр-03, 00:08 (MSK)
	> >Спасибо. >А как закрыть доступ на веб-сервер(средствами веб-сервера) IP , с которого шли >запросы? Не надо делать все через всем известное место... Для решения этой задачи существуют firewall.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Вопрос по безопасности"
	Сообщение от Paul on 12-Май-03, 14:33 (MSK)
	файрволами тут не обойдешься. закроешь один айпи - появится другой. лучше укреплять секьюрити самого веб-сервера, путем апгрейда последнего. Также для эффективного контроля можно поставить какую-нить IDS, например, SNORT. (www.snort.org)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх