* [Comm] Apache log - ?
@ 2004-10-12 9:05 Jury Levykin
2004-10-12 18:05 ` Dmitriy Zakalyuzhniy
2004-10-13 9:32 ` Sasha Martsinuk
0 siblings, 2 replies; 8+ messages in thread
From: Jury Levykin @ 2004-10-12 9:05 UTC (permalink / raw)
To: community
Apache 1.3.31, ALM 2.2
В access_log Apache почти ежедневно вижу следующие записи:
============================================================
213.47.109.238 - - [11/Oct/2004:18:09:15 +0400] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
... ~100 lines ...
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
0\x90\x90\x90\x90\x90\x90\x90\x90\x90
... ~100 lines ...
0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
0\x90\x90\x90\x90\x90\x90\x90" 414 345
=============================================================
IP - разные, смотрел в whois очень много заграничных адресов.
Часто в логе видны попытки запустить windows приложения.
Что это значит?
Это попытки взлома переполнением буфера или нет?
Можно ли закрыть подобные запросы с помощью firewall?
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] Apache log - ?
2004-10-12 9:05 [Comm] Apache log - ? Jury Levykin
@ 2004-10-12 18:05 ` Dmitriy Zakalyuzhniy
2004-10-12 18:33 ` Jury Levykin
2004-10-13 9:32 ` Sasha Martsinuk
1 sibling, 1 reply; 8+ messages in thread
From: Dmitriy Zakalyuzhniy @ 2004-10-12 18:05 UTC (permalink / raw)
To: community
On Tue, 12 Oct 2004 13:05:18 +0400
Jury Levykin <altcomm@list.ru> wrote:
> Apache 1.3.31, ALM 2.2
>
> В access_log Apache почти ежедневно вижу следующие записи:
>
> ============================================================
> 213.47.109.238 - - [11/Oct/2004:18:09:15 +0400] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
> 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
> 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
> ... ~100 lines ...
> xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
> 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
> 2\xb1\x02\xb1\x02\xb1\x02\xb1\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
> 0\x90\x90\x90\x90\x90\x90\x90\x90\x90
> ... ~100 lines ...
> 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
> 0\x90\x90\x90\x90\x90\x90\x90" 414 345
> =============================================================
>
> IP - разные, смотрел в whois очень много заграничных адресов.
> Часто в логе видны попытки запустить windows приложения.
>
> Что это значит?
Коды ответа группируются по значению первой цифры. Коды с 4хх означают ошибку клиента.
> Это попытки взлома переполнением буфера или нет?
По крайней мере, нехорошие действия :-( Особенно, если идет в конце запускаемой команды ...cmd.exe :-)
> Можно ли закрыть подобные запросы с помощью firewall?
Я закрываю. Но у меня ошибок не очень много :-)
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] Apache log - ?
2004-10-12 9:05 [Comm] Apache log - ? Jury Levykin
2004-10-12 18:05 ` Dmitriy Zakalyuzhniy
@ 2004-10-13 9:32 ` Sasha Martsinuk
2004-10-13 9:39 ` Pavel Sabirjanov
1 sibling, 1 reply; 8+ messages in thread
From: Sasha Martsinuk @ 2004-10-13 9:32 UTC (permalink / raw)
To: Jury Levykin; +Cc: community
[-- Attachment #1: Type: text/plain, Size: 609 bytes --]
On Oct 12 13:05, Jury Levykin wrote:
> В access_log Apache почти ежедневно вижу следующие записи:
<skip/>
> IP - разные, смотрел в whois очень много заграничных адресов.
> Часто в логе видны попытки запустить windows приложения.
>
> Что это значит?
> Это попытки взлома переполнением буфера или нет?
> Можно ли закрыть подобные запросы с помощью firewall?
Это прощупывание.
Делается всякими роботами-сканерами буржуйскими, на предмет
ПО, которое подвержено переполнению буфера.
Я нисколько насчёт этого не беспокоюсь.
--
WBR,
Sasha aka mr.Scamp
mailto:sasha@sasha.rv.ua
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] Apache log - ?
2004-10-13 9:32 ` Sasha Martsinuk
@ 2004-10-13 9:39 ` Pavel Sabirjanov
0 siblings, 0 replies; 8+ messages in thread
From: Pavel Sabirjanov @ 2004-10-13 9:39 UTC (permalink / raw)
To: community
Sasha Martsinuk пишет:
>On Oct 12 13:05, Jury Levykin wrote:
>
>
>
>>В access_log Apache почти ежедневно вижу следующие записи:
>>
>>
>
><skip/>
>
>
>
>>IP - разные, смотрел в whois очень много заграничных адресов.
>>Часто в логе видны попытки запустить windows приложения.
>>
>>Что это значит?
>>Это попытки взлома переполнением буфера или нет?
>>Можно ли закрыть подобные запросы с помощью firewall?
>>
>>
>
>Это прощупывание.
>Делается всякими роботами-сканерами буржуйскими, на предмет
>ПО, которое подвержено переполнению буфера.
>
>Я нисколько насчёт этого не беспокоюсь.
>
>
Чаще это зараженные вирусом машины с Windows, они даже не догадываются
об этом, поэтому закрывать эти адреса не стоит.
--
С уважением,
Сабирьянов Павел
pavel@ukr-inter.net
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2004-10-13 9:39 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-10-12 9:05 [Comm] Apache log - ? Jury Levykin
2004-10-12 18:05 ` Dmitriy Zakalyuzhniy
2004-10-12 18:33 ` Jury Levykin
2004-10-12 18:48 ` Dmitriy Zakalyuzhniy
2004-10-12 19:05 ` Jury Levykin
2004-10-12 19:19 ` Dmitriy Zakalyuzhniy
2004-10-13 9:32 ` Sasha Martsinuk
2004-10-13 9:39 ` Pavel Sabirjanov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git