|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Dmitriy Stepanov 2:5070/251.1 27 Sep 2001 01:47:13
To : Andrew Martovlos
Subject : Re: Лезут, пристают - чего-то хотят :-)
--------------------------------------------------------------------------------
AM> Wed, 19 Sep 2001 16:21:07 +0400
AM> Albert Siraev <Albert.Siraev@p23.f106.n5011.z2.fidonet.org>
AM> wrote to: fido7.ru.linux
RC>> httpd.log
RC>> [212.20.195.112] File does not exist:
RC>> /home/httpd/html/default.ida кучи аналогичных запросов с
RC>> различнейших адресов поскипаны. А это что за мерзость?
Albert>> Это Code Red сканирует. У меня тоже в день по сотне
AM> ^^^^^^^^^ это что за зверь? Че ему надо-то?
================================================================================
IIS-Worm.CodeRed (AKA "Code Red", "Bady")
Первый представитель данного семейства сетевых червей, "Code Red" (также
известный под именем "Bady"), по данным ZDNet, уже заразил около 12 000 серверов
по всему миру и провел крупномасштабную DDoS атаку на Web сервер Белого дома
(www.whitehouse.gov), вызвав нарушение его нормальной работы.
"Bady" заражает только компьютеры под управлением Windows 2000 (без установленны
сервисных пакетов), с установленным Microsoft Internet Information Server (IIS)
включенной службой индексирования (Indexing Service). Вместе с тем, именно это
программное обеспечение чаще всего используется на коммерческих Web, FTP и
почтовых серверах, что и определило широкое распространение червя. Масштабы
эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие
версии Windows, например Windows NT и Windows XP. Однако автор червя умышленно
"нацелил" его только на системы Windows 2000.
================================================================================
А вобще сходи на viruslist.com там много чего про вирусы есть.
AM> У меня тоже такое попадается в access_log
AM> 194.27.51.46 - - [24/Sep/2001:04:14:37 +0300] "GET
AM> /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
AM> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
AM> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
AM> XXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%uc
AM> bd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
AM> HTTP/1.0" 404 205
CodeRed
AM> А еще
AM> 194.12.232.67 - - [19/Sep/2001:04:10:56 +0300] "GET
AM> /scripts/root.exe?/c+dir HTTP/1.0" 404 210 194.12.232.67 - -
AM> [19/Sep/2001:04:11:02 +0300] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 208
AM> 194.12.232.67 - - [19/Sep/2001:04:11:06 +0300] "GET
AM> /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 218
AM> и так далее.
AM> Это они мастдаевцев так трусят или из какой это оперы?
Их родимых.
AM> Хто знает?
У меня такой фигни в логах пачками.
195.46.193.185 - - [25/Sep/2001:00:29:52 +0900] "GET /scripts/root.exe?/c+dir HT
195.46.193.185 - - [25/Sep/2001:00:29:54 +0900] "GET /MSADC/root.exe?/c+dir HTTP
195.46.193.185 - - [25/Sep/2001:00:29:56 +0900] "GET /c/winnt/system32/cmd.exe?/
А вот это меня вобще на смерть убило, парнуху искали видимо :)
195.222.69.86 - - [25/Sep/2001:05:48:55 +0900] "GET http://www.amateuravenue.com
/index.html?a=3026331 HTTP/1.0" 404 - "http://www.clubteenprix.com/index.html"
"Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
AM> И еще, как "он" мой адрес-то узнает? Он же у меня динамический, и
AM> коннект всего-то минут 10-15.
Сканят, у CodeRed генератор специальный. У меня тоже динамичский IP.
--
--- tin/1.5.8-20010221 ("Blue Water") (UNIX) (Linux/2.2.19 (i686))
* Origin: [ion<dog>rbcmail.ru] [registered Linux User #224284] (2:5070/251.1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
