S�o ataques do SIRCAM, e recentemente do NIMDA.... Nada a ver com "hackers"....
----- Original Message ----- From: "Fabricio L Oliveia" <[EMAIL PROTECTED]> To: "Kleber Klei Borges" <[EMAIL PROTECTED]> Cc: "Marcio Merlone" <[EMAIL PROTECTED]>; "Linux-Br" <[EMAIL PROTECTED]> Sent: Tuesday, October 02, 2001 11:13 PM Subject: Re: (linux-br) Re: httpd Obrigado a todos que me responderam : Vou aproveitar para fazer mais alguma perguntas Estes "problemas" ja vem de um certo tempo, ent�o estou suspeitando de que exista "alguem" em particular que esta tentando aprontar. no caso /winnt/system32/cmd.exe, fica ent�o confirmado que algum hacker esta tentando ? No caso em que Marcio Merlone citou em uma das respostas tive problemas com o sircam na epoca do tumulto que ele causou, ent�o coloquei o uvscan + amavis e por e-mail nunca mais tive galho, poderia ter ficado alguma coisa do sircan por aqui? Oque devo fazer ? <><><<><><><><><><><><<><><><<><><><<><><><><><><><><> Caro Fabricio, J� tivemos este tipo de mensagem nos logs dos nossos servers tanto linux como tamb�m NT Server, isto refere-se a tentativas de invas�es atrav�s de vulnerabilidades do IIS da Microsoft, para as mensagens que cont�m o erro /winnt/system32/cmd.exe provavelmente o invasor estava tentando abrir uma tela dos com o comando CMD.EXE do NT, por�m, como estamos falando de linux, isto jamais iria acontecer. Quanto as linhas contendo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX isto tamb�m � uma tentativa de invas�o por meio de uma vulnerabilidade do IIS da Microsoft. Fique atento, pois pelo que parece, este hacker n�o soube identificar que o seu sistema operacional n�o � um NT da vida. Abra�os Fabricio L Oliveia gravada: Achei "algumas" coisas estranhas e peguei um peda�o de cada um dos arquivos error_log."x" e coloquei a qui abaixo, se puderem me auxiliar ficaria imensamente grato Fabricio <> ERROR_LOG.2 <> [Sun Sep 23 03:43:59 2001] [error] [client 200.53.62.17] File does not /home/httpd/html/msadc/..%5c../..%5c../..%5c/..� ../..� ../..� ../winnt/syst em32/cmd.exe [Sun Sep 23 04:02:00 2001] [error] [client 200.228.191.2] File does not exist: /home/httpd/html/robots.txt [Sun Sep 23 04:02:02 2001] [notice] SIGHUP received. Attempting to restart <> ERROR_LOG.3 <> [Sun Sep 16 02:59:42 2001] [error] [client 200.23.88.96] File does not exist: /home/httpd/html/default.ida [Sun Sep 16 03:49:22 2001] [error] [client 200.207.90.21] Invalid URI in request XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u685 8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u5 31b%u53ff%u0078%u0000%u00=a HTTP/1.0 [Sun Sep 16 03:51:50 2001] [error] [client 200.207.90.21] Invalid URI in request XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u685 8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u5 31b%u53ff%u0078%u0000%u00=a HTTP/1.0 [Sun Sep 16 04:02:00 2001] [error] [client 200.228.191.2] File does not exist: /home/httpd/html/robots.txt [Sun Sep 16 04:02:02 2001] [notice] SIGHUP received. Attempting to restart > <> ERROR_LOG.4 <> [Fri Sep 7 12:32:02 2001] [error] [client 172.187.114.253] script not found or unable to stat: /home/httpd/cgi-bin/Count.cgi [Fri Sep 7 12:35:01 2001] [error] [client 200.11.198.60] File does not exist: /home/httpd/html/default.ida ****** [EMAIL PROTECTED] acesse a arquivo /var/log/httpd/access.log e error.log e verifique se l� existe algo estranho. Servicos pararem assim sem algum problema aparente, com certeza pode ser ataque... vc possui algum outro programa que execute juntamente com seu servidor de paginas, tipo um CGI mal comportado... troca de senha, etc. Procure ver desde quando esta acontecendo isso... se comecou depois que instalou algo... etc.. Fabricio L Oliveia gravada: ****** Original Message Ola Tenho o seguinte problema de vez em quando tenho restartar o httpd pois tento acessar o meu site e ele esta fora do ar uso conectiva linux 5.1 o que poderia ser. Grato Fabricio --- Outgoing mail is certified Virus Free. Checked by AVG anti-virus system (http://www.grisoft.com). Version: 6.0.282 / Virus Database: 150 - Release Date: 25/09/01 Assinantes em 02/10/2001: 2355 Mensagens recebidas desde 07/01/1999: 135121 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
