Начало Вход/Регистрация Помощ Tazi stranica s latinski bukwi
Области
 Новини
 Актуална тема
 Linux портали
 Справочник
 FAQ
   •Какво е Линукс?
 Въпроси-отговори
 Форуми
   •Трудова борса
   •Конкурс
 Статии
 Дистрибуции
   •Поръчка на CD
 Made In BG
 Файлове
 Връзки
 Галерия
 Конференции
Настройки
 Външен вид
 Предложения
 Направи си сам
И още ...
 За нас
 Линукс за българи ЕООД
 Линк към нас
 Предложения

Подкрепяно от:
Spectrum Net

TelePoint - Място за хора със свободни идеи

Adsys Group

SAP Bulgaria

Въпроси отговори
Въпрос: Apache help
[Търси: ]

ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.

Към началото |Добави въпрос |Отговори
 
Въпрос
От: begin4o Дата: 04/13/2004
Здравейте.
Имам следния проблем със сървъра ми.
 При отваряне на някоя страница от него, която явно не
съществува ми се генерира следното в лог-файловете.

1.
Това е единият запис в лог файла. 
Клиента 210.72.223.137 търси "нещо", което не знам какво е.
Дайте идея как да го спра.

 [Tue Apr 04 02:26:50 2004] [error] [client 210.72.223.137]
request failed: URI too long

210.72.223.137 - - [04/Apr/2004:02:26:50 +0300] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\

2.
 Това е другият запис в лог файла. Тук проблема явно е
свързан с търсачка някаква.
 [Tue Apr 13 05:35:59 2004] [error] [client 210.72.223.137]
File does not exist: /web/robots.txt

По-проблемно ми е генерираното в 1.
 Записите в лог файла са ми много големи. А и сървъра явно се
натоварва от това. Дали не е експлойт или нещо от сорта.
Дайте поне идея накъде да се насоча и да търся проблема ми.
За сега пиша в iptables по един ред от сорта:

iptables -A INPUT -p tcp -s 210.72.223.137 -j DROP

 Това ми решава проблема с конкретното IP, но не и за
проблема като цяло.
 Но не мога постоянно да добавям заради всяко IP, създаващо
 ми този проблем. Дайте поне съвет какво да се мъча да
 направя? Вече питах но или въпроса ми е елементарен или пък
не е съществен.


Отговор #1
От: Н. Антонов (nikola< at >linux-bg[ точка ]org) Дата: 04/13/2004
 В единия случай изглежда става дума за червей. Мрежата е
 бъкана с червясали уиндоуси. Блокирането по IP е
 безсмислено, защото не можеш денонощно да баеш над машината
 си и да дебнеш "злосторниците". Просто разчитай на добре
 конфигуриран и пачнат сървър. Другото е уеббот или т. нар.
 "паяк" - това са автоматизирани "машини", които индексират
 интернет-съдържанието. Те гледат за файл robots.txt, в който
 обикновено се съдържат инструкции за въпросните ботове -
например, какво да индексират и кои директории да игнорират.


Отговор #2
От: begin4o Дата: 04/14/2004
Добре Ники, мерси за разяснението.
Само ти реагира на моите въпроси.
Как обаче да се справя с този проблем?
Дай някакъв съвет.
Мерси предварително.


Отговор #3
От: steve Дата: 04/14/2004
 Pri uslovie che web servera ti e pusnat za obshtestveno
 polzvane i po default e otvoren kum sveta, nqma nachin da
 spresh takiva opiti. Razbira se tova ne biva da te plash ni
 nai malko. Ima dosta mashini koito si skanirat nai redovno
 web serverite i proverqvat za nai razlichen software
 instaliran na tqh koito ima problemi sus sigurnosta.
 Naprimer phpNuke koito e porchut s tova. Dosta chesto v
 logovete se vijdat i takiva opiti za pokushenie kato se
 tursqt failove kato modules.php - koito se izpolzva
 priphpnuke i t.n. Debre patchnat ili updeitnat web server,
 mysql server i kod sa trudna mishena za takiva raboti. Veche
ako stava duma za DoS stava po kofti rabotata.



Отговор #4
От: Дядо Мец Дата: 04/14/2004
begin4o, 
недей се плаши човече, това е ежедневие... ;)

 1. представлява remote exploit на Windows IIS 5.0 WebDAV
 server. Опит за препълване на буфер и изгърмяване на
ntdll.dll което води до shell с админ привилегии. 
Абсолютно безполезна атака на linux/apache server. 
За повече инфо, ако искаш прочети:
http://www.networkassociates.com/us/security/resources/sv_ent30.htm
Верно, досадна е и пълни логовете с глупости, но мрежата е
пълна със script kiddies и за жалост не можеш се отърва
от подобни изпълнения. Както ти казаха и другите настройвай
добре firewall-a и редовни ъпдейти на сървърите които си 
пуснал да слушат по широкия свят.

2. Съдейки по това, че заявката идва от същото ИП както и 
exploita, явно хайвана проверява за налични директории на
сървъра, които може да съдържат интересни за него файлове,
 например лошо конфигуриран FrontPage... Отново нищо
страшно.
 Иначе, както ти обясни Ники robots.txt се използва от
паяците, които индексират web пространството (туй са 
полезни животни - да не се бъркат с червеите ;))

 Колкото до претоварване на web-server-a... едва ли. Апаха
издържа много голям товар, а ти едва ли имаш толкова бърза
връзка, че да успееш да поемеш толкова заявки... ;)


Отговор #5
От: Н. Антонов (nikola __@__ linux-bg__dot__org) Дата: 04/14/2004
 Абсолютно да не ти пука от тия съобщения. Да му мислят
 администраторите на IIS. За apache мисли като за един звяр,
 който издържа на натоварвания, каквито дори не можеш да си
представиш:)


Отговор #6
От: begin4o Дата: 04/14/2004
Много, мно-о-о-о-о-го мерси пичове.
Не съм в час, затова питах.
Добре е, че има такива като вас.
 Може да ви е досадно и елементарно това за което се
интересувах, но "страх лозе пази", има такава приказка.
 Пак ще ви притеснявам за напред (здраве и живот) с
въпросчета.
Още веднъж МЕРСИ..


Отговор #7
От: Григор Лекаров (hammerfall< at >bitex __точка__ bg) Дата: 04/14/2004
 Виждам че въпроса по-темата се е изчерпал :) За това само ще
 кажа, че като маняк на тема стабилност и security (steve
 може да го потвърди) само ще те посъветвам да ползваш stable
 версии и няма от какво да се притесняваш. Най-добре е да
 следиш за налични дупки и кръпки за тях. Е, това не те
освобождава от задължението да си следиш логовете.
 Между другото това не мисля че е толкова елементарно в
 сравнвние с други постинги по темата които са дискутирани
вече толкова много.


Отговор #8
От: kasapina pro hack (upspeede__at__abv__dot__bg) Дата: 09/15/2007
 znachi imash exploit resni sarvara si ili go korigirai ne
mozhes da go mahnesh pot format e::: .HTM ili .GDB
 vartise dokato ne KILL nesarvara podobre iztrii sarvara. igo
napravi na novo!!



<< Otnosno --> KostadinZ !!! (2 ) | join Windows 2000 samba PDC (1 ) >>

 
© 2011-... Асоциация "Линукс за българи"
© 2007-2010 Линукс за българи ЕООД
© 1999-2006 Slavej Karadjov
Ако искате да препечатате или цитирате информация от този сайт прочетете първо това
Външния вид е направен от MOMCHE
Code Version: 1.0.8 H (Revision: 23-09-2011)
 
Изпълнението отне: 0 wallclock secs ( 0.07 usr + 0.01 sys = 0.08 CPU)