[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2001 ml@sikurezza.org Soggetto: Re: Problema con vecchio worm "redcode" .... Mittente: Night_Haw Data: 18 Sep 2001 12:31:18 -0000
On Tue, Sep 18, 2001 at 01:15:54PM +0200, Enrico Valsecchi wrote: > A distanza di quasi 2 mesi, > ho ancora molteplici richieste della famosa pagina > "default.ida?" sui miei servers .... [snip] purtroppo ormai codered e' diventato un DoS ;) > Mi chiedevo se esiste un altro modo per evitare il tutto, > tipo leggere il corpo del pacchetto e deciderne la sorte > (mi scuso se ho detto una boiata!!!!) Con un NIDS come snort esamini il payload dei pacchetti e poi con altri programmi che si appoggiano agli alert puoi decidere di inserire determinate regole di firewalling [snip] > Questo problema, a livello di attacco e sicurezza pura, > non mi crea grossi problemi ma: > > - occupa un sacco di banda (ricevo circa 50 richieste/ora per ogni > ip pubblico che possiedo ....) Purtroppo per le richieste non possiamo farci niente se non evitare che apache o in generale la macchina dia una risposta a quelle richieste > - sporca i log (ho creato procedure di pulizia, > ma anch'esse richiedono risorse in termini di prestazioni ....), [snip (varie ed eventuali)] Personalmente ormai mi son rassegnato e mi limito a pulire i log con la 'signature' :) di codered. In effetti ancora rompe abbastanza i coglioni codered. <flame> Ringraziamo i sistemisti NT ;) </flame> ciao --- Night_Haw http://unsecureit.acaro.org/ ;) GnuPG key id:1024D/4FE33FC4 --- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005