| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Jak zablokowac ip, z ktorego probowano sie wlamac? http://forum.freesco.pl/viewtopic.php?f=35&t=49 |
Strona 1 z 1 |
| Autor: | Anonymous [ środa, 17 lipca 2002, 22:52 ] |
| Tytuł: | Jak zablokowac ip, z ktorego probowano sie wlamac? |
Witam Przez ostatnie kilka dni, moj serwer www (apache) jest "oblezany" przez niecnych ludzi, ktorzy probuja cos z niego wyciagnac. Jest to zazwyczaj to samo: [Wed Jul 10 04:06:05 2002] [error] [client 80.49.8.178] File does not exist: /home/www/pentium/public_html/scripts/root.exe [Wed Jul 10 04:06:05 2002] [error] [client 80.49.8.178] File does not exist: /home/www/pentium/public_html/MSADC/root.exe [Wed Jul 10 04:06:06 2002] [error] [client 80.49.8.178] File does not exist: /home/www/pentium/public_html/c/winnt/system32/cmd.exe [Wed Jul 10 04:06:06 2002] [error] [client 80.49.8.178] File does not exist: /home/www/pentium/public_html/d/winnt/system32/cmd.exe I tak w kolko. Jest to dosc meczace i tez powoduje mi od czasu do czasu reset apacha. Pomyslalem, ze moglbym poblokowac te ip. Mozna w apachu (chyba), ustawic ip, ktore nie beda mialy dostepu do serwera www, ale chcialbym zablokowac im dostep calkowicie. I teraz pojawia sie pytanie, jak? Czy regula: ipfwadm -I -a reject -S 80.49.8.178 -D moj.adres.ip.serwera wystarczy? Czy tez moze trzeba cos wiecej dodac. Z gory dziekuje za pomoc. P.S. Poszukalbym po starych postach, ale nie ma juz starego forum. P.S.2 Ten adres ip, to jest prawdziwy adres,z ktorego probowano sie wlamac (pj178.czestochowa.sdi.tpnet.pl). |
|
| Autor: | zciech [ środa, 17 lipca 2002, 23:26 ] |
| Tytuł: | |
Tak wystarczy. np.: ipfwadm -I -i reject -W ppp0 -S 80.49.8.178 albo: ipfwadm -I -i reject -S 80.49.8.178 ipfwadm -I -i deny -S 80.49.8.178 itp. kombinacje 
samo wpisanie do rc_user nie wystarczy, potrzebny jeszcze reboot lub wpisanie tego z konsoli. moze portrzebna jest regula na port uzywany do wlamania? |
|
| Autor: | Kipa [ czwartek, 18 lipca 2002, 00:03 ] |
| Tytuł: | |
Radziłbym nie zaglądać na ten serwer z poziomu windoz szczególnie NieTych, wygląda na to, że kolega serwerek windoz NieTe padł ofiarą wiruska, na mój nos to NIMDA, jeden z moich ulubionych. Możesz się przetestować http://www.ferrum.com.pl/vir co powinno potrwać ok minuty do końcowego ekranu o tytule Koniec Testu. W międzyczasie należy odrzucać wszelkie próby ściągnięcia małego pliczku .exe (8O zupełnie niegroźnego) |
|
| Autor: | Anonymous [ czwartek, 18 lipca 2002, 10:40 ] |
| Tytuł: | |
Nie wiem czy dobrze zrozumialem. Mowisz, ze ten gosc spod adresu 80.49.8.178 ma winde nt i w dodatku zawirusowana i one chca sie ze mna polaczyc, czy moze, ze moj serwerek jest zawirusowany (mam przeciez freesco, nie win nt)? Probowalem sie polaczyc z tym adresem, ping dziala, ale nie ma serwera www (innych nie testowalem), a nie bede skanowal portow, bo moze mu sie to nie spodobac i by na mnie doniosl . A propos, takich rzeczy w logach mam mnostwo (gdzies pewnie z 40 roznych ip). W sprawie tego maila (testu), to mam tez problem  . Jako, ze uzywam linux'a + sylpheed'a (klient pocztowy) nie mam mozliwosci otworzenia pliku eml w nim, moge jedynie podgladnac go w jakims edytorze tekstu. Ale poprosze kumpla, ktory ma winde, zeby sprawdzil jak to dziala.
Pozdrawiam |
|
| Autor: | Kipa [ czwartek, 18 lipca 2002, 16:31 ] |
| Tytuł: | Może włamywacz |
Zawsze jest taka możliwość, że to jakiś domorosły hacker podejmuje usilne starania włamu, biorąc twój serwer za NT, ale chyba częściej są to wiruski. Po częstotliwości prób dostępu do różnych plików, to jakiś automat, ale może być ręcznie odpalony 
A mój teścik to dla windoz, bo są strasznie dziurawe. |
|
| Autor: | Bolo_B [ czwartek, 18 lipca 2002, 19:13 ] |
| Tytuł: | |
Pytanie do Kipy o teśkik. Mam freesco a w sieci wewnętrznej win98. Za pierwszym razem jak odpalam test wszystko jest ok - tzn nawet nie wchodzi strona podsumowująca tylko biała kartka. Jednak za drugim razem wyskakuje okienko za pomocą jakiego programu otworzyć plik wbkA036.tmp no i sie zmartwiłem. tzn że ktoś sie może włamać mimo NAT'a na freesco? 
|
|
| Autor: | Anonymous [ niedziela, 21 lipca 2002, 12:26 ] |
| Tytuł: | Wpisy w logach |
Co do tych wpisów, to ja na jednym z serwerów mam ich po kilkaset dziennie zwykle z kilkudziesięciu różnych IP. Na początku trochę mnie to niepokoiło, ale przyzwyczaiłem się, doszłem do wniosku że w ten sposób to mogą mi naskoczyć. To prawdopodobnie wiruski i/lub nieudolne hakerki którzy biorą Mandrake 8.2 za windowsa NT (ciągle próbują otwierać pliki console.exe, cmd.exe, root.exe i takie tam pierdoły), na ogół w różnych katalogach, zwykle poprzedzonych znaczkami procentów. |
|
| Autor: | Anonymous [ niedziela, 21 lipca 2002, 12:26 ] |
| Tytuł: | Wpisy w logach |
Co do tych wpisów, to ja na jednym z serwerów mam ich po kilkaset dziennie zwykle z kilkudziesięciu różnych IP. Na początku trochę mnie to niepokoiło, ale przyzwyczaiłem się, doszłem do wniosku że w ten sposób to mogą mi naskoczyć. To prawdopodobnie wiruski i/lub nieudolne hakerki którzy biorą Mandrake 8.2 za windowsa NT (ciągle próbują otwierać pliki console.exe, cmd.exe, root.exe i takie tam pierdoły), na ogół w różnych katalogach, zwykle poprzedzonych znaczkami procentów. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|