[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2001 ml@sikurezza.org Soggetto: Re: Problema con vecchio worm "redcode" .... Mittente: Amodiovalerio Verde Data: 18 Sep 2001 10:41:05 -0000
> Ciao a tutti, > spero che qualcuno gentilmente mi possa dare aiuto ! > > A distanza di quasi 2 mesi, > ho ancora molteplici richieste della famosa pagina > "default.ida?" sui miei servers .... > Credo che continuino a riceverne tutti quelli che hanno un server... > Ho creato una procedura tramite la quale la richiesta a > tale pagina viene soddisfatta, viene identificato il n° ip > del richiedente, e scritto in un file .txt > Ogni mezz'ora il firewall preleva questo file e vieta >l'accesso > in entrata a tutti i numeri ip contenuti nel file in questione. > Credo che questa 'procedura' non faccia altro che aumentare il lavoro della tua macchina e del tuo firewall... > Mi chiedevo se esiste un altro modo per evitare il tutto, > tipo leggere il corpo del pacchetto e deciderne la sorte > (mi scuso se ho detto una boiata!!!!) > Sempre IMHO, la soluzione migliore e' quella di 'ignorare' il problema..., io personalmente ho creato un file vuoto default.ida, cosi' apache 'soddisfa' la richiesta, non ho errori nel file di log, e penso che un minimo di cache di apache renda completamente trascurabile il fetch di default.ida. ( come al solito mi spiego con i piedi, ma spero si sia capito ). > - occupa un sacco di banda (ricevo circa 50 richieste/ora per ogni > ip pubblico che possiedo ....) la banda la occupa ugualmente anche se rigetti le richieste...meglio un file restituito di 0 byte ( almeno trasmetti solo un header ), che un 404 magari bello carico. > - sporca i log (ho creato procedure di pulizia, > ma anch'esse richiedono risorse in termini di prestazioni ....), > - lo spazio richiesto dai log sta diventando non trascurabile beh puoi sempre utilizzare syslog-ng, filtri tramite lui i log di apache e non gli fai scrivere nulla riguardo default.ida > - mi fanno incazzare perche' assisto impotente alla situazione .... :-)))) non credo si possa fare nulla se non staccare la spina.... Ciauz Valerio [Hypo] Verde ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005