|
|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
| Въпрос |
| От: begin4o |
Дата: 04/13/2004 |
Здравейте.
Имам следния проблем със сървъра ми.
При отваряне на някоя страница от него, която явно не
съществува ми се генерира следното в лог-файловете.
1.
Това е единият запис в лог файла.
Клиента 210.72.223.137 търси "нещо", което не знам какво е.
Дайте идея как да го спра.
[Tue Apr 04 02:26:50 2004] [error] [client 210.72.223.137]
request failed: URI too long
210.72.223.137 - - [04/Apr/2004:02:26:50 +0300] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
2.
Това е другият запис в лог файла. Тук проблема явно е
свързан с търсачка някаква.
[Tue Apr 13 05:35:59 2004] [error] [client 210.72.223.137]
File does not exist: /web/robots.txt
По-проблемно ми е генерираното в 1.
Записите в лог файла са ми много големи. А и сървъра явно се
натоварва от това. Дали не е експлойт или нещо от сорта.
Дайте поне идея накъде да се насоча и да търся проблема ми.
За сега пиша в iptables по един ред от сорта:
iptables -A INPUT -p tcp -s 210.72.223.137 -j DROP
Това ми решава проблема с конкретното IP, но не и за
проблема като цяло.
Но не мога постоянно да добавям заради всяко IP, създаващо
ми този проблем. Дайте поне съвет какво да се мъча да
направя? Вече питах но или въпроса ми е елементарен или пък
не е съществен.
|
| Отговор #1 |
| От: Н. Антонов (nikola __@__ linux-bg __точка__ org) |
Дата: 04/13/2004 |
В единия случай изглежда става дума за червей. Мрежата е
бъкана с червясали уиндоуси. Блокирането по IP е
безсмислено, защото не можеш денонощно да баеш над машината
си и да дебнеш "злосторниците". Просто разчитай на добре
конфигуриран и пачнат сървър. Другото е уеббот или т. нар.
"паяк" - това са автоматизирани "машини", които индексират
интернет-съдържанието. Те гледат за файл robots.txt, в който
обикновено се съдържат инструкции за въпросните ботове -
например, какво да индексират и кои директории да игнорират.
|
| Отговор #2 |
| От: begin4o |
Дата: 04/14/2004 |
Добре Ники, мерси за разяснението.
Само ти реагира на моите въпроси.
Как обаче да се справя с този проблем?
Дай някакъв съвет.
Мерси предварително.
|
| Отговор #3 |
| От: steve |
Дата: 04/14/2004 |
Pri uslovie che web servera ti e pusnat za obshtestveno
polzvane i po default e otvoren kum sveta, nqma nachin da
spresh takiva opiti. Razbira se tova ne biva da te plash ni
nai malko. Ima dosta mashini koito si skanirat nai redovno
web serverite i proverqvat za nai razlichen software
instaliran na tqh koito ima problemi sus sigurnosta.
Naprimer phpNuke koito e porchut s tova. Dosta chesto v
logovete se vijdat i takiva opiti za pokushenie kato se
tursqt failove kato modules.php - koito se izpolzva
priphpnuke i t.n. Debre patchnat ili updeitnat web server,
mysql server i kod sa trudna mishena za takiva raboti. Veche
ako stava duma za DoS stava po kofti rabotata.
|
| Отговор #4 |
| От: Дядо Мец |
Дата: 04/14/2004 |
begin4o,
недей се плаши човече, това е ежедневие... ;)
1. представлява remote exploit на Windows IIS 5.0 WebDAV
server. Опит за препълване на буфер и изгърмяване на
ntdll.dll което води до shell с админ привилегии.
Абсолютно безполезна атака на linux/apache server.
За повече инфо, ако искаш прочети:
http://www.networkassociates.com/us/security/resources/sv_ent30.htm
Верно, досадна е и пълни логовете с глупости, но мрежата е
пълна със script kiddies и за жалост не можеш се отърва
от подобни изпълнения. Както ти казаха и другите настройвай
добре firewall-a и редовни ъпдейти на сървърите които си
пуснал да слушат по широкия свят.
2. Съдейки по това, че заявката идва от същото ИП както и
exploita, явно хайвана проверява за налични директории на
сървъра, които може да съдържат интересни за него файлове,
например лошо конфигуриран FrontPage... Отново нищо
страшно.
Иначе, както ти обясни Ники robots.txt се използва от
паяците, които индексират web пространството (туй са
полезни животни - да не се бъркат с червеите ;))
Колкото до претоварване на web-server-a... едва ли. Апаха
издържа много голям товар, а ти едва ли имаш толкова бърза
връзка, че да успееш да поемеш толкова заявки... ;)
|
| Отговор #5 |
| От: Н. Антонов (nikola (a) linux-bg[ точка ]org) |
Дата: 04/14/2004 |
Абсолютно да не ти пука от тия съобщения. Да му мислят
администраторите на IIS. За apache мисли като за един звяр,
който издържа на натоварвания, каквито дори не можеш да си
представиш:)
|
| Отговор #6 |
| От: begin4o |
Дата: 04/14/2004 |
Много, мно-о-о-о-о-го мерси пичове.
Не съм в час, затова питах.
Добре е, че има такива като вас.
Може да ви е досадно и елементарно това за което се
интересувах, но "страх лозе пази", има такава приказка.
Пак ще ви притеснявам за напред (здраве и живот) с
въпросчета.
Още веднъж МЕРСИ..
|
| Отговор #7 |
| От: Григор Лекаров (hammerfall__at__bitex__dot__bg) |
Дата: 04/14/2004 |
Виждам че въпроса по-темата се е изчерпал :) За това само ще
кажа, че като маняк на тема стабилност и security (steve
може да го потвърди) само ще те посъветвам да ползваш stable
версии и няма от какво да се притесняваш. Най-добре е да
следиш за налични дупки и кръпки за тях. Е, това не те
освобождава от задължението да си следиш логовете.
Между другото това не мисля че е толкова елементарно в
сравнвние с други постинги по темата които са дискутирани
вече толкова много.
|
| Отговор #8 |
| От: kasapina pro hack (upspeede< at >abv__dot__bg) |
Дата: 09/15/2007 |
znachi imash exploit resni sarvara si ili go korigirai ne
mozhes da go mahnesh pot format e::: .HTM ili .GDB
vartise dokato ne KILL nesarvara podobre iztrii sarvara. igo
napravi na novo!!
|
<< Otnosno --> KostadinZ !!! (2
) | join Windows 2000 samba PDC (1
) >>
|
|
|
|
|
|
