algun chico listo .....

ko^ke · #1 (**permalink**) 22/01/2003, 15:54

Holas:

Pues nada lo que cito al final son 2 lineas de mi access_log de apache y segun investigue se trata de algun chico listo que quiere divertirse, o sera algun virus que anda por ahi en internet ?

Como dato curioso tenemos lo siguiente:

Mi servidor (Linux) lo utilizo basicamente para compartir la conexion de internet (Telmex Infinitum DSL), las direcciones ip son dinamicas y pertenecen al mismo rango que me asignan a mi servidor. Lo del apache es para hacer algunas pruebas antes de ponerlo en producción.

Cita:

200.67.43.71 - - [22/Jan/2003:08:27:00 -0600] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"

Cita:

200.67.148.50 - - [22/Jan/2003:10:49:00 -0600] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 309 "-" "-"

Un Saludo
Ko^ke

Giondo · #2 (**permalink**) 22/01/2003, 16:17

pues mepa que alguien quiere entrar

virus no creo que sea.. aunque podrian aprobechar esas puertitas.. buscare a ver si encuentro algo

duda: la ip es que aparece es la tuya ?

salu2

ko^ke · #3 (**permalink**) 22/01/2003, 17:23

Giondo:

Cita:

duda: la ip es que aparece es la tuya ?

Si te refieres a las que estan en el access_log la respuesta es no.

Un saludo,
ko^ke

Giondo · #4 (**permalink**) 22/01/2003, 18:51

pues entonces rastrealas para ver de donde vienen..asi por lo menos sabras con quien estas peleando...

salu2

raac · #5 (**permalink**) 22/01/2003, 19:14

Hola:

Dichas entradas en los logs de los servidores suelen ser muy frecuentes... y para las personas que preferimos apache en vez de IIS no tenemos ningun problema ante tales conexiones.

Corresponden principalmente al Nimda, y como puedes apreciar tratan de explotar los "pequeños" huecos de seguridad del IIS, por lo tanto no te preocupes. Otra posible causa es algun escaner que prueba automaticamente dichas URL o en tercera instancia alguien que no tiene de plano nada que hacer y lo realiza manualmente.

Puedes redireccionar todas esas peticiones a una página donde adviertas al "chico listo" que ha sido detectado y te pondrás en contacto con su ISP para reportar dichas actividades

Saludos,

ko^ke · #6 (**permalink**) 23/01/2003, 15:20

Raac:

Cita:

Corresponden principalmente al Nimda, y como puedes apreciar tratan de explotar los "pequeños" huecos de seguridad del IIS, por lo tanto no te preocupes

Oopss!! estaba analizando los logs de otro servidor con Windows y sale lo mismo

, este servidor no usa tampo el IIS, usa una instancia de apache montada sobre weblogic.

Ya estoy pensando en tomar 'ciertas medidas'.....

Uns Saludo,

ko^ke