-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Mirando el log de Apache2 de mi ordenador me he encotrado con esto que no se interpretar ¿Me estan intentando entrar o me he vuelto paranoico? 62.23.57.93 - - [30/Jan/2004:02:35:08 +0100] "GET /scripts/..%255c% 255c../winnt/system32/cmd.exe?/c+dir" 404 1042 "-" "-" 203.197.123.219 - - [30/Jan/2004:09:44:56 +0100] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 1042 "-" "-" 24.2.123.56 - - [30/Jan/2004:11:12:54 +0100] "CONNECT 1.3.3.7:1337 HTTP/1.0" 405 969 "-" "-" 200.51.38.2 - - [30/Jan/2004:11:46:11 +0100] "CONNECT 200.51.38.2:25 HTTP/1.0" 405 973 "-" "-" 200.51.38.2 - - [30/Jan/2004:11:46:14 +0100] "POST http://200.51.38.2:25/ HTTP/1.0" 200 1456 "-" "-" 200.51.38.2 - - [30/Jan/2004:11:46:16 +0100] "PUT http://200.51.38.2:25/ HTTP/1.0" 405 969 "-" "-" 213.152.139.219 - - [30/Jan/2004:13:20:14 +0100] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 1042 "-" "-" - -- Antonio López Fernádez Cartagena-España http://www.poesia-castellana.com Suse 8.2 Kde 3.1.4 Kernel 2.4.20-4GB Athlon gnu/linux users register #319373 jabberID icue@myjabber.net -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQFAGnN2KCh2CCdM8iMRAm6aAJ0Wad+B+9WNf3QHIB/yyNyJ60/ErwCfceng iy+7X1i+tId9yR8sC95SxT0= =1DY/ -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Viernes, 30 de Enero de 2004 16:08, Antonio Lopez Fernandez escribió:
Mirando el log de Apache2 de mi ordenador me he encotrado con esto que no se interpretar ¿Me estan intentando entrar o me he vuelto paranoico?
62.23.57.93 - - [30/Jan/2004:02:35:08 +0100] "GET /scripts/..%255c% 255c../winnt/system32/cmd.exe?/c+dir" 404 1042 "-" "-"
* Pues si, concretamente un pardillo, has tenido suerte no es de preocupar, cortale las alas con iptables a la ip en cuestion. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQFAGtQGAXFL65CppEIRAn11AJ9uR/i2TuVgVIp7lFbwOkPv8fzlbACeNEdj nwx1pUVHW5SfbKije7hVeL4= =KnGs -----END PGP SIGNATURE-----
El 2004-01-30 a las 16:08 +0100, Antonio Lopez Fernandez escribió:
¿Me estan intentando entrar o me he vuelto paranoico?
62.23.57.93 - - [30/Jan/2004:02:35:08 +0100] "GET /scripts/..%255c% 255c../winnt/system32/cmd.exe?/c+dir" 404 1042 "-" "-"
Si, pensando que tienes un servidor windows. Un "script kiddie", un crio jugando con scripts que circulan por ahí. No te buscan a ti, son aleatorios. -- Saludos Carlos Robinson
El Sábado, 31 de Enero de 2004 16:28, Carlos E. R. escribió:
El 2004-01-30 a las 16:08 +0100, Antonio Lopez Fernandez escribió:
¿Me estan intentando entrar o me he vuelto paranoico?
62.23.57.93 - - [30/Jan/2004:02:35:08 +0100] "GET /scripts/..%255c% 255c../winnt/system32/cmd.exe?/c+dir" 404 1042 "-" "-"
jejje este tambien es amiguete mio y está castigado mirando a la pared host.93.57.23.62.rev.coltfrance.com
El 2004-01-31 a las 17:38 +0100, Javier Payno escribió:
62.23.57.93 - - [30/Jan/2004:02:35:08 +0100] "GET /scripts/..%255c% 255c../winnt/system32/cmd.exe?/c+dir" 404 1042 "-" "-"
jejje este tambien es amiguete mio y está castigado mirando a la pared
host.93.57.23.62.rev.coltfrance.com
X-) ¿Pa' que? Te aburrirás de cerrarles el paso, hay miles. Mientras busquen agujeros en maquinas windows, no te pueden hacer daño; y además, pueden ser ip dinámicas, con lo que cada vez usarán una ip distinta y no has conseguido nada. Si tienes que tener abierto el puerto del apache, asegurate de tenerlo todo bien, y estáte preparado por si te lo petan; ten backups, y no vayas a tener documentos personales críticos guardados ahí. Mas vale leer algún buen libro sobre seguridad, estar al tanto en los foros del tema, etc, etc. Yo lo que he visto que hacen es ajustar para que ni siquiera se escriban en el log esos "ataques inocentes", que lo unico que hacen es gastar sitio en el disco (en logs). Otros sé que hicieron un script para automaticamente denunciarles a la dirección de abuse del rango - lo cual no sirve de nada, porque hay ISPs que ni los miran, o hay que hacerlo por web. -- Saludos Carlos Robinson
participants (4)
-
Antonio Lopez Fernandez
-
Carlos E. R.
-
Javier Payno
-
jose maria