Re: Strani log di apache

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2001 ml@sikurezza.org
Soggetto: Re: Strani log di apache
Mittente: Gian Luca Matteucci
Data: 20 Aug 2001 16:29:12 -0000

In data Tue, 14 Aug 2001 18:36:21 +0200, DElyMyth <delymyth@delymyth.net>
scrisse:

> Nell'infausto giorno Sun, 12 Aug 2001 19:46:59 +0200,

nooo, perche'? e' stata una cosi' bella giornata... :)

> Gian Luca Matteucci
> ha pensato bene di dilettare ml@sikurezza.org con il messaggio
> <200108141603.QAA04207@server0010.freedom2surf.net>, intitolato "Strani
> log di apache":
> 
> > > xxx.xxx.xxx.xxx - - [12/Aug/2001:00:34:48 +0200] "GET
> > > 111111111111111111111111111"
> > >  400 - "-" "-" http://%0111111111111111111111111111 0
> 
> Ho un sospetto...
> che sia la versione 3?
> [a voi indovinare di cosa :P]

nahhh...
Code Red mi lascia nei log di apache righe tipo:

xxx.xxx.xxx.xxx - - [20/Jul/2001:01:12:00 +0200] "GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
 HTTP/1.0" 400 252 "-" "-" http://www.worm.com Accept: */*/default.ida 1

questa invece e' una lunga sequenza di 1...
escluderei l'eventualita' che qualcuno abbia fatto una GET a caso
telnettandosi sul server (il pattern si ripete piu' volte ed e'
esattamente identico)

sara' un qualche tool di scansione? ma alla ricerca di che cosa? (tra
l'altro una sola macchina nella subnet ha registrato questa "cosa")

non e' che questo non mi faccia dormire la notte, pero' non mi
dispiacerebbe capirci qualcosa... cerchero' ancora :)

ciao,
GMatte

-- 
Gian Luca Matteucci (GLM64-RIPE)

--------------                                       --------------
  PreSSo@net - La competenza in rete      http://www.presso.net/
  Tel: +39 0131 950 932                   Fax: +39 02 700 438 846
--------------                                       --------------


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: mi sono perso qualcosa? - FreeBSD Security Advisory FreeBSD-SA-01:52.fragment, lorenzo
- successivo: [REQ] Info lettura, Andrea
- indice

Argomento:
- precedente: Re: Strani log di apache, antirez
- successivo: Re: Strani log di apache, Gian Luca Matteucci
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005