dziwne zapisy w logach apacza

[Tomasz Buziak [uho]]

Cytowanie Krzysztof Królikowski <krzysiek w pkn.pl>:

> adres.aj.pi - - [18/Apr/2004:01:31:35 +0200] "SEARCH
> /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
> \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
> \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
> \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
> [...]

wynik dzialania robala brzydala, proba dos, albo buffer overflow
nie ma serwera ktory by nie mial czegos takiego w logach,
jesli akcja powtarza sie cyklicznie z jednego hosta, to mozna wyslac list do
abuse chyba !!!

mysle ze nie ma sie czym przejmowac, tyle ze zasmieca ci logi no i moze sie w
konczu pojawic taki string ze mimo aktualnej wersji apacha jednak przebije sie
przez jego odpornosc i bedzie buuu ...

rozwiazanie: instalnij sobie Snort IDS, poczytaj sobie o nim, zorganizuj regulki
ktore wycinac beda ruch tego typu, mozna takze zkozystac ze zmodyfikowanej
wersji Snorta, Snort-Inline lub plugina SnortSam, ktore to wspolpracuja z
iptablesem i innymi firewallami (tylko snortsam), po odpowiednim
skonfigurowaniu, snort bedzie robil co trzeba z takim zachowaniem

--
Tomasz Buziak, pozdrawiam ...
# cd /pub && more beer

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.