ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Apache log - ?
@ 2004-10-12  9:05 Jury Levykin
  2004-10-12 18:05 ` Dmitriy Zakalyuzhniy
  2004-10-13  9:32 ` Sasha Martsinuk
  0 siblings, 2 replies; 8+ messages in thread
From: Jury Levykin @ 2004-10-12  9:05 UTC (permalink / raw)
  To: community

Apache 1.3.31, ALM 2.2

В access_log Apache почти ежедневно вижу следующие записи:

============================================================
213.47.109.238 - - [11/Oct/2004:18:09:15 +0400] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
 ... ~100 lines ...
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
0\x90\x90\x90\x90\x90\x90\x90\x90\x90
 ... ~100 lines ...
0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
0\x90\x90\x90\x90\x90\x90\x90" 414 345
=============================================================

IP - разные, смотрел в whois очень много заграничных адресов.
Часто в логе видны попытки запустить windows приложения.

Что это значит?
Это попытки взлома переполнением буфера или нет?
Можно ли закрыть подобные запросы с помощью firewall?



^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] Apache log - ?
  2004-10-12  9:05 [Comm] Apache log - ? Jury Levykin
@ 2004-10-12 18:05 ` Dmitriy Zakalyuzhniy
  2004-10-12 18:33   ` Jury Levykin
  2004-10-13  9:32 ` Sasha Martsinuk
  1 sibling, 1 reply; 8+ messages in thread
From: Dmitriy Zakalyuzhniy @ 2004-10-12 18:05 UTC (permalink / raw)
  To: community

On Tue, 12 Oct 2004 13:05:18 +0400
Jury Levykin <altcomm@list.ru> wrote:

> Apache 1.3.31, ALM 2.2
> 
> В access_log Apache почти ежедневно вижу следующие записи:
> 
> ============================================================
> 213.47.109.238 - - [11/Oct/2004:18:09:15 +0400] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
> 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
> 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
>  ... ~100 lines ...
> xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
> 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
> 2\xb1\x02\xb1\x02\xb1\x02\xb1\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
> 0\x90\x90\x90\x90\x90\x90\x90\x90\x90
>  ... ~100 lines ...
> 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
> 0\x90\x90\x90\x90\x90\x90\x90" 414 345
> =============================================================
> 
> IP - разные, смотрел в whois очень много заграничных адресов.
> Часто в логе видны попытки запустить windows приложения.
> 
> Что это значит?

Коды ответа группируются по значению первой цифры. Коды с 4хх означают ошибку клиента.

> Это попытки взлома переполнением буфера или нет?

По крайней мере, нехорошие действия :-( Особенно, если идет в конце запускаемой команды ...cmd.exe :-)

> Можно ли закрыть подобные запросы с помощью firewall?

Я закрываю. Но у меня ошибок не очень много :-)

> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] Apache log - ?
  2004-10-12 18:05 ` Dmitriy Zakalyuzhniy
@ 2004-10-12 18:33   ` Jury Levykin
  2004-10-12 18:48     ` Dmitriy Zakalyuzhniy
  0 siblings, 1 reply; 8+ messages in thread
From: Jury Levykin @ 2004-10-12 18:33 UTC (permalink / raw)
  To: community

Dmitriy Zakalyuzhniy пишет:

>Я закрываю. Но у меня ошибок не очень много :-)
>
Подскажите команды iptables, что именно закрвыать?



^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] Apache log - ?
  2004-10-12 18:33   ` Jury Levykin
@ 2004-10-12 18:48     ` Dmitriy Zakalyuzhniy
  2004-10-12 19:05       ` Jury Levykin
  0 siblings, 1 reply; 8+ messages in thread
From: Dmitriy Zakalyuzhniy @ 2004-10-12 18:48 UTC (permalink / raw)
  To: community

On Tue, 12 Oct 2004 22:33:10 +0400
Jury Levykin <altcomm@list.ru> wrote:

> Dmitriy Zakalyuzhniy пишет:
> 
> >Я закрываю. Но у меня ошибок не очень много :-)
> >
> Подскажите команды iptables, что именно закрвыать?

По iptables по памяти не помню :-( ipfw add deny ... во FreeBSD. Я просто закрываю все tcp-коннекты с ip-шников, которые ломятся с такими запросами.

> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] Apache log - ?
  2004-10-12 18:48     ` Dmitriy Zakalyuzhniy
@ 2004-10-12 19:05       ` Jury Levykin
  2004-10-12 19:19         ` Dmitriy Zakalyuzhniy
  0 siblings, 1 reply; 8+ messages in thread
From: Jury Levykin @ 2004-10-12 19:05 UTC (permalink / raw)
  To: community

Dmitriy Zakalyuzhniy пишет:

>По iptables по памяти не помню :-( ipfw add deny ... во FreeBSD. Я просто закрываю все tcp-коннекты с ip-шников, которые ломятся с такими запросами.
>
т.е. нужно заводить черный список.




^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] Apache log - ?
  2004-10-12 19:05       ` Jury Levykin
@ 2004-10-12 19:19         ` Dmitriy Zakalyuzhniy
  0 siblings, 0 replies; 8+ messages in thread
From: Dmitriy Zakalyuzhniy @ 2004-10-12 19:19 UTC (permalink / raw)
  To: community

On Tue, 12 Oct 2004 23:05:53 +0400
Jury Levykin <altcomm@list.ru> wrote:

> Dmitriy Zakalyuzhniy пишет:
> 
> >По iptables по памяти не помню :-( ipfw add deny ... во FreeBSD. Я просто закрываю все tcp-коннекты с ip-шников, которые ломятся с такими запросами.
> >
> т.е. нужно заводить черный список.

У меня небольшой канал по выделенке - справляюсь вручную со списком. Два-три адреса в сутки вбить в правила - не очень затруднительно. Но если канал хороший, то это не решение. Может, и есть какая автоматизация для этого - не спорю :-)

> 
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community


^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] Apache log - ?
  2004-10-12  9:05 [Comm] Apache log - ? Jury Levykin
  2004-10-12 18:05 ` Dmitriy Zakalyuzhniy
@ 2004-10-13  9:32 ` Sasha Martsinuk
  2004-10-13  9:39   ` Pavel Sabirjanov
  1 sibling, 1 reply; 8+ messages in thread
From: Sasha Martsinuk @ 2004-10-13  9:32 UTC (permalink / raw)
  To: Jury Levykin; +Cc: community

[-- Attachment #1: Type: text/plain, Size: 609 bytes --]

On Oct 12 13:05, Jury Levykin wrote:

> В access_log Apache почти ежедневно вижу следующие записи:

<skip/>

> IP - разные, смотрел в whois очень много заграничных адресов.
> Часто в логе видны попытки запустить windows приложения.
> 
> Что это значит?
> Это попытки взлома переполнением буфера или нет?
> Можно ли закрыть подобные запросы с помощью firewall?

Это прощупывание. 
Делается всякими роботами-сканерами буржуйскими, на предмет
ПО, которое подвержено переполнению буфера.

Я нисколько насчёт этого не беспокоюсь.

--
WBR, 
Sasha aka mr.Scamp
			    mailto:sasha@sasha.rv.ua

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 8+ messages in thread

* Re: [Comm] Apache log - ?
  2004-10-13  9:32 ` Sasha Martsinuk
@ 2004-10-13  9:39   ` Pavel Sabirjanov
  0 siblings, 0 replies; 8+ messages in thread
From: Pavel Sabirjanov @ 2004-10-13  9:39 UTC (permalink / raw)
  To: community

Sasha Martsinuk пишет:

>On Oct 12 13:05, Jury Levykin wrote:
>
>  
>
>>В access_log Apache почти ежедневно вижу следующие записи:
>>    
>>
>
><skip/>
>
>  
>
>>IP - разные, смотрел в whois очень много заграничных адресов.
>>Часто в логе видны попытки запустить windows приложения.
>>
>>Что это значит?
>>Это попытки взлома переполнением буфера или нет?
>>Можно ли закрыть подобные запросы с помощью firewall?
>>    
>>
>
>Это прощупывание. 
>Делается всякими роботами-сканерами буржуйскими, на предмет
>ПО, которое подвержено переполнению буфера.
>
>Я нисколько насчёт этого не беспокоюсь.
>  
>
Чаще это зараженные вирусом машины с Windows, они даже не догадываются 
об этом, поэтому закрывать эти адреса не стоит.

-- 
С уважением,
Сабирьянов Павел
pavel@ukr-inter.net




^ permalink raw reply	[flat|nested] 8+ messages in thread

end of thread, other threads:[~2004-10-13  9:39 UTC | newest]

Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-10-12  9:05 [Comm] Apache log - ? Jury Levykin
2004-10-12 18:05 ` Dmitriy Zakalyuzhniy
2004-10-12 18:33   ` Jury Levykin
2004-10-12 18:48     ` Dmitriy Zakalyuzhniy
2004-10-12 19:05       ` Jury Levykin
2004-10-12 19:19         ` Dmitriy Zakalyuzhniy
2004-10-13  9:32 ` Sasha Martsinuk
2004-10-13  9:39   ` Pavel Sabirjanov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git