R: Log di apache/zope

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2001 ml@sikurezza.org
Soggetto: R: Log di apache/zope
Mittente: Daniele
Data: 20 Jul 2001 16:07:33 -0000

E' possibile che se mandi la mail non la
mandi a chi ha avuto intenzione d'attacco.
Questo e un worm che duplica molto velocemente
una volta intaccato un sistema.
Vi riporto una riga dei logs di unodei nostri sensori
NIDS delle ultime 24 ore

Sensor   8000  Cisco Secure IDS:8000  5  3459

3459 signatures rilevate relative al Red Code Worm.
Ripeto delle ultime 24 ore.
Questa e la stringa di signature che abbiamo messo
ai nostri sensori :

/default\.ida\?[a-zA-Z0-9]+%u9090%u6858%ucbd3%u7801%u9090

e pare funzionare senza tanti "falsi".
Ecco il link per la spiegazione dettagliata del Red Code Worm:
http://www.eeye.com/html/advisories/codered.zip

-----Messaggio originale-----
Da: Andrea Fanfani [mailto:a.fanfani@mixad.it]
Inviato: giovedi 19 luglio 2001 21.36
A: ml@sikurezza.org
Oggetto: Log di apache/zope


[Finalmente un mail un po' piu' tecnico.]

Oggi un ragazzo da noi si e' trovato questa roba
nei log della sua macchinina (nei log di zope).
Sospetto che si tratti di un tentativo di un worm
per IIS di farsi un giro nella  macchinina
(cfr. http://www.newsbytes.com/news/01/168003.html).

Qualcuno ha gia' avuto visite del genere ?

Vale la pena sbattersi a  mandare mail
oppure lascio correre ?

Saluti
a.


----- Forwarded message> -----


216.183.126.144 - - [19/Jul/2001:16:20:03 +0000] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 320
195.5.156.131 - - [19/Jul/2001:16:27:14 +0000] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 320
4.60.44.213 - - [19/Jul/2001:16:28:07 +0000] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 400 320


----- End forwarded message -----

--
Andrea Fanfani
"Se Dio e' perfetto, perche' ha creato le funzioni discontinue?"

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: Log di apache/zope, Simone Merli
- successivo: Re: Log di apache/zope, trtms
- indice

Argomento:
- precedente: ras, G.Camozzi
- successivo: SECURITY ADVISORY FOR SSH SECURE SHELL 3.0.0, scai
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005