Apache GET próbálkozás

Security-all

Apache GET próbálkozás

  • 1434 megtekintés

( xsak v | 2005. 08. 29., h – 09:33 )

Hali!

Sok olyan kérés van az apache webszerveremre, ami csak ennyi:

[code:1:3cd01bbd20]xxx.xxx.xxx.xxx - - [27/Aug/2005:14:11:42 +0200] "GET / HTTP/1.0" 200 831 "-" "-"[/code:1:3cd01bbd20]

Gondolom ez valamilyen betörési kísérlet, de elképzelni sem tudom, mire jó...

A gépet kevesen nézik, mert nincs rajta semmi (másoknak) érdekes. Az apache az OpenBSD v1.3.29 programja...

Mi ez? Hol tudok utánaolvasni?

Üdv,
Ák.

( x-daemon | 2005. 08. 29., h – 10:00 )

ez egy normál kérés, csak nem azonosította magát a böngésző (le lehet tiltani) vagy egy programmal is elő lehet idézni, és meg is kapta a választ - 200 - (directoryindex alapján) ami 831 byte hosszú volt. a www.apche.org oldalát próbáltad már? ha betörési kísérlet lenne, akkor "kicsit" hosszabb lenne az url :)

( xsak v | 2005. 08. 29., h – 10:07 )

Látom, hogy normál kérés.
Úgy vélem, ez nem egy szokásos eljárás.
Gondolom az eredményt felhasználhatják valamire, ami talán a "sötét oldalon" van.

Azóta vannak ezek a logban, mióta megszűnt (nagyon lecsökkent) a PhpBB, awstats hibái iránt "érdeklődő" kérések
Talán rémet látok, talán nem... :-)

( x-daemon | 2005. 08. 29., h – 11:19 )

ha zavar, vedd ki a directoryindex-et, rakd át az indexet ez_a_titkos_index.html -re és akinek meg akarod mutatni az oldalt mondd meg. ekkor aki nem tudja hibára fog futni.

( taxy | 2007. 03. 20., k – 16:41 )

87.97.219.149 - - [04/Mar/2007:17:35:28 +0100] "GET / HTTP/1.0" 200 483 "-" "-" "-"
87.97.219.149 - - [04/Mar/2007:17:35:28 +0100] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9...
8662 karakterig onnan: \x90\x90\x90\x90\x90\x90\x90\x90\x90\...
32789-ig
87.97.219.149 - - [04/Mar/2007:17:35:59 +0100] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 302 "-" "-" "-"
és ez újra és újra már nagyon nogyon rég óta.
Ez mi lehet? Mármint mit akarnak támadni vele?

Tiltsd ki az IP tartományt: 87.97.192.0 - 87.97.255.255
Sejtésem szerint valami Windows szerveres hibát szeretnének kihasználni, mivel valami adatoz POST -olnak az fp30reg.dll -nek.
Ha nem Windowsos szervered van, nagyon nem kell törődni vele (de azért az IP tartományt tiltsd ki és jelezd hostmaster@interbgc.com, hogy kitiltottad őket, mert ..).
Ezt akarják kihasználni a támadó(k):
http://www.securiteam.com/exploits/6A00J1P8UQ.html
___________________________________________________________________
Lógnak a pálmafán a kókuszok .... :)

Mi ez a hostmaster@interbgc.com?
Inter-BG-Com Ltd. HOSTMASTER?
Ezeknek lehet jelzni? Milyen szövegkörnyezettel?
Mindenféle betörési kísérletet lehet?
Olyat is ami nem az apache-al kapcsolatos hanem a DCE-RPC-vel (135) , vagy a netbios-ssn(139) -el?
Olyat is amit xp-s férgek küldenek? Jó lenne egy ilyen hely végre, mert nagyon sok szemetet kapok az IP-mre, és csak tehetetlenül nézem.
És ez azért különösen bosszantó mert adatkorlátos a netem. És azért fizessek hogy a más gépekre felkerült vírusok forgalmat csináljanak nekem? Hiába droppolom őket, akkor is jönnek. Na erre illene egy új topicot nyitni.