Freesco, NND, CDN, EOS

Witam

Przez ostatnie kilka dni, moj serwer www (apache) jest "oblezany" przez niecnych ludzi, ktorzy probuja cos z niego wyciagnac. Jest to zazwyczaj to samo:
[Wed Jul 10 04:06:05 2002] [error] [client 80.49.8.178] File does not exist: /home/www/pentium/public_html/scripts/root.exe
[Wed Jul 10 04:06:05 2002] [error] [client 80.49.8.178] File does not exist: /home/www/pentium/public_html/MSADC/root.exe
[Wed Jul 10 04:06:06 2002] [error] [client 80.49.8.178] File does not exist: /home/www/pentium/public_html/c/winnt/system32/cmd.exe
[Wed Jul 10 04:06:06 2002] [error] [client 80.49.8.178] File does not exist: /home/www/pentium/public_html/d/winnt/system32/cmd.exe

I tak w kolko. Jest to dosc meczace i tez powoduje mi od czasu do czasu reset apacha. Pomyslalem, ze moglbym poblokowac te ip. Mozna w apachu (chyba), ustawic ip, ktore nie beda mialy dostepu do serwera www, ale chcialbym zablokowac im dostep calkowicie. I teraz pojawia sie pytanie, jak?
Czy regula:
ipfwadm -I -a reject -S 80.49.8.178 -D moj.adres.ip.serwera
wystarczy? Czy tez moze trzeba cos wiecej dodac. Z gory dziekuje za pomoc.

P.S. Poszukalbym po starych postach, ale nie ma juz starego forum.
P.S.2 Ten adres ip, to jest prawdziwy adres,z ktorego probowano sie wlamac (pj178.czestochowa.sdi.tpnet.pl).

Tak wystarczy.
np.:
ipfwadm -I -i reject -W ppp0 -S 80.49.8.178
albo:
ipfwadm -I -i reject -S 80.49.8.178
ipfwadm -I -i deny -S 80.49.8.178
itp. kombinacje
samo wpisanie do rc_user nie wystarczy, potrzebny jeszcze reboot lub wpisanie tego z konsoli.
moze portrzebna jest regula na port uzywany do wlamania?

Radziłbym nie zaglądać na ten serwer z poziomu windoz szczególnie NieTych, wygląda na to, że kolega serwerek windoz NieTe padł ofiarą wiruska, na mój nos to NIMDA, jeden z moich ulubionych.
Możesz się przetestować http://www.ferrum.com.pl/vir co powinno potrwać ok minuty do końcowego ekranu o tytule Koniec Testu. W międzyczasie należy odrzucać wszelkie próby ściągnięcia małego pliczku .exe (8O zupełnie niegroźnego)

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

Nie wiem czy dobrze zrozumialem. Mowisz, ze ten gosc spod adresu 80.49.8.178 ma winde nt i w dodatku zawirusowana i one chca sie ze mna polaczyc, czy moze, ze moj serwerek jest zawirusowany (mam przeciez freesco, nie win nt)? Probowalem sie polaczyc z tym adresem, ping dziala, ale nie ma serwera www (innych nie testowalem), a nie bede skanowal portow, bo moze mu sie to nie spodobac i by na mnie doniosl . A propos, takich rzeczy w logach mam mnostwo (gdzies pewnie z 40 roznych ip). W sprawie tego maila (testu), to mam tez problem . Jako, ze uzywam linux'a + sylpheed'a (klient pocztowy) nie mam mozliwosci otworzenia pliku eml w nim, moge jedynie podgladnac go w jakims edytorze tekstu. Ale poprosze kumpla, ktory ma winde, zeby sprawdzil jak to dziala.
Pozdrawiam

Zawsze jest taka możliwość, że to jakiś domorosły hacker podejmuje usilne starania włamu, biorąc twój serwer za NT, ale chyba częściej są to wiruski. Po częstotliwości prób dostępu do różnych plików, to jakiś automat, ale może być ręcznie odpalony
A mój teścik to dla windoz, bo są strasznie dziurawe.

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

Pytanie do Kipy o teśkik. Mam freesco a w sieci wewnętrznej win98. Za pierwszym razem jak odpalam test wszystko jest ok - tzn nawet nie wchodzi strona podsumowująca tylko biała kartka. Jednak za drugim razem wyskakuje okienko za pomocą jakiego programu otworzyć plik wbkA036.tmp no i sie zmartwiłem. tzn że ktoś sie może włamać mimo NAT'a na freesco?

Co do tych wpisów, to ja na jednym z serwerów mam ich po kilkaset dziennie zwykle z kilkudziesięciu różnych IP.
Na początku trochę mnie to niepokoiło, ale przyzwyczaiłem się, doszłem do wniosku że w ten sposób to mogą mi naskoczyć. To prawdopodobnie wiruski i/lub nieudolne hakerki którzy biorą Mandrake 8.2 za windowsa NT (ciągle próbują otwierać pliki console.exe, cmd.exe, root.exe i takie tam pierdoły), na ogół w różnych katalogach, zwykle poprzedzonych znaczkami procentów.

Co do tych wpisów, to ja na jednym z serwerów mam ich po kilkaset dziennie zwykle z kilkudziesięciu różnych IP.
Na początku trochę mnie to niepokoiło, ale przyzwyczaiłem się, doszłem do wniosku że w ten sposób to mogą mi naskoczyć. To prawdopodobnie wiruski i/lub nieudolne hakerki którzy biorą Mandrake 8.2 za windowsa NT (ciągle próbują otwierać pliki console.exe, cmd.exe, root.exe i takie tam pierdoły), na ogół w różnych katalogach, zwykle poprzedzonych znaczkami procentów.