dziwne zapisy w logach apacza
Tomasz Buziak [uho]
uho w xhost.one.pl
Wto, 20 Kwi 2004, 00:22:07 CEST
Cytowanie Krzysztof Królikowski <krzysiek w pkn.pl>:
> adres.aj.pi - - [18/Apr/2004:01:31:35 +0200] "SEARCH
> /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
> \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
> \xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
> \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02
> [...]
wynik dzialania robala brzydala, proba dos, albo buffer overflow
nie ma serwera ktory by nie mial czegos takiego w logach,
jesli akcja powtarza sie cyklicznie z jednego hosta, to mozna wyslac list do
abuse chyba !!!
mysle ze nie ma sie czym przejmowac, tyle ze zasmieca ci logi no i moze sie w
konczu pojawic taki string ze mimo aktualnej wersji apacha jednak przebije sie
przez jego odpornosc i bedzie buuu ...
rozwiazanie: instalnij sobie Snort IDS, poczytaj sobie o nim, zorganizuj regulki
ktore wycinac beda ruch tego typu, mozna takze zkozystac ze zmodyfikowanej
wersji Snorta, Snort-Inline lub plugina SnortSam, ktore to wspolpracuja z
iptablesem i innymi firewallami (tylko snortsam), po odpowiednim
skonfigurowaniu, snort bedzie robil co trzeba z takim zachowaniem
--
Tomasz Buziak, pozdrawiam ...
# cd /pub && more beer
----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.
Więcej informacji o liście dyskusyjnej pld-users-pl