Hozzászólások
Sziasztok! :)
Tudjuk, hogy manapság rengeteg féreg rágja az Internetre csatlakozó wines felhasználók gépeit és számtalan exploit létezik wines szerverek ellen(is). Ezért általában nem szoktam meglepődni az ehhez hasonló logbejegyzéseken:
[code:1:00ff852281]Sat Aug 28, 2004 11:13 pm 404 80.98.***.***
/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=4219&STRMVER=4&CAPREQ=0[/code:1:00ff852281]
Ma azonban egy kedves ismerősöm gépéről érkeztek másodpercenként az alábbi lekérések:
[code:1:00ff852281]_vti_bin/shtml.exe/_vti_rpc
_vti_inf.html[/code:1:00ff852281]
Megkérdeztem tőle, hogy nem-e ő poénkodik - bár ezt magam sem gondoltam komolyan. Amit a Google-n történt vadászatom után sejtek, hogy valamiféle frontpage exploitoló féregről lehet szó, de nem találtam sehol egy tisztességes advisoryt erről - vagy csak nem kerestem elég alaposan... A lényeg az, hogy nem tudom miféle worm lehet ez. Találkoztatok már vele? Tudtok róla valami közelebbit? Ugyanis szeretnék segíteni a barátomnak megszabadulni tőle, ha tényleg megfertőzte valami a (winXP-s) gépét...
Előre is köszi minden hozzászólást! :)
- A hozzászóláshoz be kell jelentkezni
Sziasztok!
Update az előzőhöz... Az Apache access_log logjában "Ms Frontpage 5.0" van megjelölve UserAgentként. Szóval a worm mellett talán bejön a képbe egy másik megoldás: hogy a haverom FP-e akarta a nem létező server extensionst elérni a (linuxos) szerveremen. De, hogy miért tenne ilyet a FP, azt nem tudom, sosem használtam.
Egyébként ezzel kapcsolatban egy sebezhetőséget találtam: http://cgi.nessus.org/cve.php3?cve=CAN-2000-0114 Ez eszerint megjelent a BUGTRAQ-n is, bár akkor én még nem voltam feliratkozva rá... :)
- A hozzászóláshoz be kell jelentkezni