|
|
|
... und die Absende-IPs
|
Hossa,
da sagt doch mein tapferer Apache:
[Wed May 19 08:18:04 2004] [error] [client 195.158.152.79] request failed: URI too long
[Wed May 19 09:31:11 2004] [error] [client 24.162.57.241] Invalid method in request \xe3:
[Wed May 19 09:44:42 2004] [error] [client 195.186.133.8] Invalid method in request \xe3:
[Wed May 19 10:42:32 2004] [error] [client 142.177.38.2] request failed: URI too long
[Wed May 19 10:53:22 2004] [error] [client 195.186.133.8] Invalid method in request \xe3:
und das seit mehreren Tagen.
Das macht mir eigentlich weiter nix aus da es sich meines Wissens um nen Wurm handelt, der den IIS angreift - was halt drastisch stört ist die Tatsache das meine access.log in Windeseile in MB-Schriten wächst weil diese langen URLs geloggt werden.
Da ich mich noch nicht ausgiebig damit beschäftigt habe welcher Wurm es ist wäre meine Frage ob einer den kennt und ob die Client-IPs echt oder gefälscht sind.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von jwm am 19.05.2004 12:03]
|
|
|
|
|
|
Den Wurm kenn ich noch nicht, und meinen IIS @home und hier in der Firma wurden auch noch nicht angegriffen.
Die IP wird sicherlich nicht gefälscht sein, macht ja bei einem Wurm keinen Sinn.
|
|
|
|
|
|
|
Schaust mal Hier
nen paar Infos mehr
|
|
|
|
|
|
|
| Zitat von MaxKnax
Die IP wird sicherlich nicht gefälscht sein, macht ja bei einem Wurm keinen Sinn. | |
Ja das stimmt, allerdings ist der Betreiber des angreifenden Servers wahrscheinlich ahnungslos - man kann ihn höchstens darauf aufmerksam machen, dass er seine Windows-Kisten mal reinigen und patchen soll.
|
|
|
|
|
|
|
Des geht leider zeitlich nicht, die nächste Wurmwelle, passend zur Heisenews ist ja schon unterwegs:
-> http://www.heise.de/newsticker/meldung/47488
May 19 22:42:02 jwm kernel: Packet log: ippp-in DENY ppp0 PROTO=6 213.128.127.95:4667 195.158.152.87:5000 L=52 S=0x00 I=17527 F=0x4000 T=63 SYN (#41)
May 19 22:49:01 jwm kernel: Packet log: ippp-in DENY ppp0 PROTO=6 195.158.179.73:2510 195.158.152.87:5000 L=48 S=0x00 I=32951 F=0x4000 T=120 SYN (#41)
Hatte mal das Logging für den 5000er an und es fix wieder ausgemacht, da mein Log kurz davor war die Platte zu füllen
|
|
|
|
|
|
|
Ja das ist Lustig, ich bekomme jeden morgen eine Mail mit CPU Auslastung, Netzwerkauslastung usw. Und am ende hängen noch die FW Logs drann.
Standardmässig sinds um die 2000 Einträge jeden Tag (meistens Port 135) heute morgen: 4097.
Aber dank DSL ist eine 1 MB grosse Mail ja auch nicht das Problem . . . .
|
|
|
|
|
|
|
Mit dem Limit-Modul (-m limit) kann man das iptables-Logging in sinnvolle Grenzen weisen.
|
|
|
|
|
|
|
diese netten apache log entrys im hex code hab ich auch, sind inzwischen auch mehrere mbs, kratzt mich aber noch nicht wirklich, erst wenns in die gb regionen geht...
dafür hatte ich bis vor ein paar tagen noch mit einem ernsthaften spam problem zu kämpfen, da ein smtp auth patch wohl nach einer gewissen zeit einfach nicht mehr direkt das tat was es sollte... jetzt gibts also auch schon verfallsdaten für software...
|
|
|
|
|
|
|
Die gibt's schon seit Jahren; Windows 95, Windows 98, ...
|
|
|
|
|
|
|
| Zitat von MaxKnax
Ja das ist Lustig, ich bekomme jeden morgen eine Mail mit CPU Auslastung, Netzwerkauslastung usw. Und am ende hängen noch die FW Logs drann.
Standardmässig sinds um die 2000 Einträge jeden Tag (meistens Port 135) heute morgen: 4097.
Aber dank DSL ist eine 1 MB grosse Mail ja auch nicht das Problem . . . . | |
womit machst du diese mail?
ist das ein programm was auf dem server läuft oder kommt es vom provider/hoster?
|
|
|
|
|
|
|
Logging per iptables und versenden per logrotate wären nur eine Möglichkeit.
|
|
|
|
|
|
|
| Zitat von |DR|R3d-M4n
| Zitat von MaxKnax
Ja das ist Lustig, ich bekomme jeden morgen eine Mail mit CPU Auslastung, Netzwerkauslastung usw. Und am ende hängen noch die FW Logs drann.
Standardmässig sinds um die 2000 Einträge jeden Tag (meistens Port 135) heute morgen: 4097.
Aber dank DSL ist eine 1 MB grosse Mail ja auch nicht das Problem . . . . | |
womit machst du diese mail?
ist das ein programm was auf dem server läuft oder kommt es vom provider/hoster? | |
1. Ich bin der Provider/Hoster
2. Das Programm nennt sich Serverreport und ist ein Perl Script. ZU finden im www.rootforum.de unter Userscripte unter freien Lizenzen
|
|
|
|
|
|
Thema: Würmer und Konsorten ( ... und die Absende-IPs ) |