From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 12 Oct 2004 21:05:54 +0300 From: Dmitriy Zakalyuzhniy To: community@altlinux.ru Subject: Re: [Comm] Apache log - ? Message-Id: <20041012210554.71987627.dimzey@tendel.dp.ua> In-Reply-To: <416B9E4E.8030204@list.ru> References: <416B9E4E.8030204@list.ru> Organization: OWN X-Mailer: Sylpheed version 0.9.12 (GTK+ 1.2.10; i686-pc-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 12 Oct 2004 18:04:28 -0000 Archived-At: List-Archive: List-Post: On Tue, 12 Oct 2004 13:05:18 +0400 Jury Levykin wrote: > Apache 1.3.31, ALM 2.2 > > В access_log Apache почти ежедневно вижу следующие записи: > > ============================================================ > 213.47.109.238 - - [11/Oct/2004:18:09:15 +0400] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0 > 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0 > 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 > ... ~100 lines ... > xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0 > 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0 > 2\xb1\x02\xb1\x02\xb1\x02\xb1\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9 > 0\x90\x90\x90\x90\x90\x90\x90\x90\x90 > ... ~100 lines ... > 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9 > 0\x90\x90\x90\x90\x90\x90\x90" 414 345 > ============================================================= > > IP - разные, смотрел в whois очень много заграничных адресов. > Часто в логе видны попытки запустить windows приложения. > > Что это значит? Коды ответа группируются по значению первой цифры. Коды с 4хх означают ошибку клиента. > Это попытки взлома переполнением буфера или нет? По крайней мере, нехорошие действия :-( Особенно, если идет в конце запускаемой команды ...cmd.exe :-) > Можно ли закрыть подобные запросы с помощью firewall? Я закрываю. Но у меня ошибок не очень много :-) > > _______________________________________________ > Community mailing list > Community@altlinux.ru > https://lists.altlinux.ru/mailman/listinfo/community