Re: Dziwny dziw :)
Rafal Bujnowski napisał w dniu pon, sty 20, 2003 at 06:01:55 CET co następuje: : A "Tomasz T. Ciaszczyk" <[EMAIL PROTECTED]> na to: : : > PS2. W drugiej firmie mam wlasnie uzyszkodnikow uzywajacych P2P i : > jakos tam takich odwolan (o dziwo) nie mam. Kazy i inne muje dzialaja : > (a czemu by nie.. tylko ze z transferem 1kbps). : : I co, nie skarżą się na tak mały transfer? Jak ktoś ma łeb na karku to : od razu wyczuje ingerencję edmina :-))) uslugi wykupione (www/smtp/pop) dzalaja bardzo dobrze (na to maja 1mbps) natomiast reszta (ftp, cs i inne gry sieciowe) maja 0.5mbps, a cala reszta jak im dziala to niech sie ciesza. -- Pozdrawiam, TTC .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- .:: Tomasz T. Ciaszczyk [ ciachociacho.pl ] >> http://ciacho.pl << .:: .:: "Ci z was, ktorzy myślą, ze wiedzą wszystko, .:: są bardzo irytujący dla tych z nas, którzy .:: rzeczywiście wszystko wiedzą." .:: -- Agatha Christie `-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- pgpJURFr4Svc3.pgp Description: PGP signature
Re: Dziwny dziw :)
On Mon, 20 Jan 2003, ireo wrote: > > > > 209.105.192.82 - - [12/Jan/2003:14:41:23 +0100] "GET > /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - "-" "-" > > > 194.27.78.23 - - [12/Jan/2003:16:22:31 +0100] "GET > /scripts/root.exe?/c+dir HTTP/1.0" 404 286 "-" "-" > > > 194.27.78.23 - - [12/Jan/2003:16:22:34 +0100] "GET > /MSADC/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-" > > > 194.27.78.23 - - [12/Jan/2003:16:22:44 +0100] "GET > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" > > > 194.27.78.23 - - [12/Jan/2003:16:22:48 +0100] "GET > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" to jest atak na serwer www microsoftu (ii-costam)... nie wiem czy to jakies robale, lae to jest perfidny atak na www microsoftowe, moze jakies automaty, moze robale tomek tomasz grzegorz zaborowski --/-- operator sieci komputerowej, IFT, UWr. http://zabora.of.pl /-[ http://zas.ift.uni.wroc.pl [EMAIL PROTECTED] /-[ 071 3759402 ---/-PHP-JAVA-SQL-CGI-HTML-UNIX-SECURE-NET-AMIGA
Re: Dziwny dziw :)
A "Tomasz T. Ciaszczyk" <[EMAIL PROTECTED]> na to: > PS2. W drugiej firmie mam wlasnie uzyszkodnikow uzywajacych P2P i > jakos tam takich odwolan (o dziwo) nie mam. Kazy i inne muje dzialaja > (a czemu by nie.. tylko ze z transferem 1kbps). I co, nie skarżą się na tak mały transfer? Jak ktoś ma łeb na karku to od razu wyczuje ingerencję edmina :-))) rafał -- [ Rafal Bujnowski ][ e-mail: [EMAIL PROTECTED]] [ http://www.bujnor.iq.pl/ ][ ...To miejsce czeka ] [ ICQ: 85602025 GG: 4174829 ][ na Twoja reklame... ]
Re: Dziwny dziw :)
Łukasz Nowak napisał w dniu Fri, Jan 17, 2003 at 10:32:18PM CET co następuje: : Witam, : : Coś mnie apacz ostatnio zaskoczył. To co następuje: : : IP1 - - [17/Jan/2003:22:38:20 +0100] "\xe3V" 401 - "-" "-" : IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" : IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" : IP3 - - [17/Jan/2003:22:38:21 +0100] "\xe3B" 401 - "-" "-" : IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" : IP3 - - [17/Jan/2003:22:38:22 +0100] "\xe3B" 401 - "-" "-" : IP3 - - [17/Jan/2003:22:38:25 +0100] "\xe3B" 401 - "-" "-" : IP4 - - [17/Jan/2003:22:38:26 +0100] "\xe3C" 401 - "-" "-" : IP5 - - [17/Jan/2003:22:38:26 +0100] "\xe3@" 401 - "-" "-" : IP6 - - [17/Jan/2003:22:38:28 +0100] "\xe3<" 401 - "-" "-" : IP7 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" : IP8 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" : IP8 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" : IP8 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" : IP9 - - [17/Jan/2003:22:38:32 +0100] "\xe3J" 401 - "-" "-" Mozliwe ze ten spam cos wyjasni: From: Megan <[EMAIL PROTECTED]> Subject: It was so nice meeting you The Best FREE ( Webcam ) site I've found ! Try it < http://data.secchat.com/m/l?25s-3tw9-2-13n8-1qqy7 > HERE \xa0 \xa0 \xa0 \xa0 \xa0 \xa0 \xa0 \xa0 dziwne tylko ze wedlug zrodel html'a tej wiadomosci jest: The Best FREE ( Webcam ) site I've found ! Try it http://data.secchat.com/m/l?25s-3tw9-1-13n8-1qqy7";>HERE -- Pozdrawiam, TTC .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- .:: Tomasz T. Ciaszczyk [ ciachociacho.pl ] >> http://ciacho.pl << .:: .:: "...ale był rzadkim okazem człowieka, .:: który bez zastanowienia dawał wszystko .:: co miał, chociaż zdumiewało go, .:: kiedy jego dar był doceniany..." `-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- pgpuYEyJlat80.pgp Description: PGP signature
Re[2]: Dziwny dziw :)
Hello Tomasz, Monday, January 20, 2003, 8:32:21 AM, you wrote: TTC> Tomasz Jajonek napisał w dniu nie, sty 19, 2003 at 11:25:41 CET co następuje: TTC> : Hello t0masz, TTC> : TTC> : Sunday, January 19, 2003, 1:32:55 PM, you wrote: TTC> : : >>> on Sat, 18 Jan 2003 01:18:27 +0100 "Tomasz T. Ciaszczyk" <[EMAIL PROTECTED]> wrote: : >>> : >>> > 61.55.142.76 - - [12/Jan/2003:14:07:15 +0100] "GET : >>> /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a : >>> HTTP/1.0" 400 328 "-" "-" : >>> > 209.105.192.82 - - [12/Jan/2003:14:41:23 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - "-" "-" : >>> > 194.27.78.23 - - [12/Jan/2003:16:22:31 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 286 "-" "-" : >>> > 194.27.78.23 - - [12/Jan/2003:16:22:34 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-" : >>> > 194.27.78.23 - - [12/Jan/2003:16:22:44 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" : >>> > 194.27.78.23 - - [12/Jan/2003:16:22:48 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" : >>> i jeszcze coś: to chyba nie pochodzi z inetu, raczej ktoś spoofuje TTC> : TTC> : Ja mam to samo i nawet doszedlem to tego co to jest :-) Prawdopodobnie TTC> : masz siec i userow lubiacych Kazaa, eDonkeya z Mulem i ty podobnymi TTC> : smieciami. U mnie dochodzilo do paru tysiecy polaczen na Apacha na TTC> [...] TTC> : mam jeszcze czasami jakies polaczenia ale juz nie taka ilosc. Krotko TTC> : mowiac sa to smieci z programow Peer to Peer. TTC> I tutaj slonce sie mylisz.. TTC> Moja siec sklada sie z zupelnie innych klientow... I bron boze zadnych TTC> windowsow (poza jednym NT) w moim LANie nie ma.. TTC> Programow P2P tez nie ma.. TTC> W tym wypadku poprawna odpowiedz brzmiala: Nimbda (czy jak sie tam on TTC> zwal) wirus dla IIS'a. Niestety, ale userzy WinShitow nei zawsze mysla TTC> o tym ze wypada cos zabezpieczyc nawet jak im sie trabi o tym... TTC> Ciekawi mnie ile jeszcze wiekow bedzie uzywany niezabezpieczony Ajtjuk TTC> czy chociazby ten szczesny IIS. TTC> : Administrator sieci PROTONET TTC> Sam jestem adminem sieci, ale potrafie rozroznic ISP dajacego lacze (a TTC> szczegolnie na osiedlowki), od ISP hostingowego... TTC> PS2. W drugiej firmie mam wlasnie uzyszkodnikow uzywajacych P2P i TTC> jakos tam takich odwolan (o dziwo) nie mam. Kazy i inne muje dzialaja TTC> (a czemu by nie.. tylko ze z transferem 1kbps). Wcale nie twierdze, ze twoj problem napewno pochodzi od P2P ale w moim przypadku to jest 100% przyczyna. Mam pytanie czy w tych polaczeniach dominuje domena .dip.t-dialin.net ? Tak to wyglada u mnie na netstacie # netstat -a tcp0 0 tomus.protonet.pl:www cliente-2172162400:1719 ESTABLISHED tcp0 0 tomus.protonet.pl:www p509016CA.dip.t-di:1398 ESTABLISHED tcp0 0 tomus.protonet.pl:www pD9E3F2D0.dip.t-di:4350 ESTABLISHED tcp0 0 tomus.protonet.pl:www pD9E0C731.dip.t-di:2760 ESTABLISHED tcp0 0 tomus.protonet.pl:www pD9538DE6.dip.t-di:1307 ESTABLISHED tcp0 14280 tomus.protonet.pl:www 12-231-138-8.clie:24731 CLOSE_WAIT tcp0 0 tomus.protonet.pl:www p508BDAE4.dip.t-di:3504 ESTABLISHED tcp0 0 tomus.protonet.pl:www p508BDAE4.dip.t-di:4019 ESTABLISHED tcp0 0 tomus.protonet.pl:www pD9E1DF6C.dip.t-di:2506 ESTABLISHED tcp0 0 tomus.protonet.pl:www lns02v-1-181.w.clu:3536 ESTABLISHED tcp0 0 tomus.protonet.pl:www ALyon-110-1-9-218.:3648 ESTABLISHED tcp0 0 tomus.protonet.pl:www pD95413C9.dip.t-di:3850 ESTABLISHED tcp0 0 tomus.protonet.pl:www p50847151.dip.t-di:2987 ESTABLISHED tcp0 0 tomus.protonet.pl:www p508B0E30.dip.t-di:4537 ESTABLISHED tcp0 0 tomus.protonet.pl:www p508BDAE4.dip.t-di:4692 ESTABLISHED # /var/log/apache/access.log 80.143.164.241 - - [20/Jan/2003:11:25:48 +0100] "\xe38" 200 13068 "-" "-" 217.234.95.86 - - [20/Jan/2003:11:25:52 +0100] "\xe3<" 200 13720 "-" "-" 217.229.166.5 - - [20/Jan/2003:11:25:52 +0100] "\xe3P" 200 13600 "-" "-" 217.230.37.92 - - [20/Jan/2003:11:25:58 +0100] "\xe3P" 200 13068 "-" "-" 80.132.113.81 - - [20/Jan/2003:11:26:00 +0100] "-" 408 - "-" "-" i jak sprawdzam polaczenia na iptrafie to znajduje polaczenia moich userow z tymi hostami. Zawsze jest to jakis P2P. Walcze z tym juz pare miesiecy zglaszalem kilkakrotnie problem do [EMAIL PROTECTED] jednak bez efektów. Blokowalem to portsentry i czym tylko to mozliwe jednak codziennie mialem po 8000-1 nowych zablokowanych hostow. Poprostu nie do zablokowania. Problem dotyczy 2 moich serwerow w roznych sieciach. Administruj
Re: Dziwny dziw :)
Tomasz Jajonek napisał w dniu nie, sty 19, 2003 at 11:25:41 CET co następuje: : Hello t0masz, : : Sunday, January 19, 2003, 1:32:55 PM, you wrote: : : >> on Sat, 18 Jan 2003 01:18:27 +0100 "Tomasz T. Ciaszczyk" <[EMAIL PROTECTED]> wrote: : >> : >> > 61.55.142.76 - - [12/Jan/2003:14:07:15 +0100] "GET : >> /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a : >> HTTP/1.0" 400 328 "-" "-" : >> > 209.105.192.82 - - [12/Jan/2003:14:41:23 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - "-" "-" : >> > 194.27.78.23 - - [12/Jan/2003:16:22:31 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 286 "-" "-" : >> > 194.27.78.23 - - [12/Jan/2003:16:22:34 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-" : >> > 194.27.78.23 - - [12/Jan/2003:16:22:44 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" : >> > 194.27.78.23 - - [12/Jan/2003:16:22:48 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" : >> i jeszcze coś: to chyba nie pochodzi z inetu, raczej ktoś spoofuje : : Ja mam to samo i nawet doszedlem to tego co to jest :-) Prawdopodobnie : masz siec i userow lubiacych Kazaa, eDonkeya z Mulem i ty podobnymi : smieciami. U mnie dochodzilo do paru tysiecy polaczen na Apacha na [...] : mam jeszcze czasami jakies polaczenia ale juz nie taka ilosc. Krotko : mowiac sa to smieci z programow Peer to Peer. I tutaj slonce sie mylisz.. Moja siec sklada sie z zupelnie innych klientow... I bron boze zadnych windowsow (poza jednym NT) w moim LANie nie ma.. Programow P2P tez nie ma.. W tym wypadku poprawna odpowiedz brzmiala: Nimbda (czy jak sie tam on zwal) wirus dla IIS'a. Niestety, ale userzy WinShitow nei zawsze mysla o tym ze wypada cos zabezpieczyc nawet jak im sie trabi o tym... Ciekawi mnie ile jeszcze wiekow bedzie uzywany niezabezpieczony Ajtjuk czy chociazby ten szczesny IIS. : Administrator sieci PROTONET Sam jestem adminem sieci, ale potrafie rozroznic ISP dajacego lacze (a szczegolnie na osiedlowki), od ISP hostingowego... PS2. W drugiej firmie mam wlasnie uzyszkodnikow uzywajacych P2P i jakos tam takich odwolan (o dziwo) nie mam. Kazy i inne muje dzialaja (a czemu by nie.. tylko ze z transferem 1kbps). EOT. -- Pozdrawiam, TTC .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- .:: Tomasz T. Ciaszczyk [ ciachociacho.pl ] >> http://ciacho.pl << .:: .:: No Love, no Peace, no Mercy .:: - Only Me, Lord War, Lady Death .:: -- TTC `-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Re[2]: Dziwny dziw :)
Hello t0masz, Sunday, January 19, 2003, 1:32:55 PM, you wrote: >> on Sat, 18 Jan 2003 01:18:27 +0100 "Tomasz T. Ciaszczyk" <[EMAIL PROTECTED]> >> wrote: >> >> > 61.55.142.76 - - [12/Jan/2003:14:07:15 +0100] "GET >> /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a >> HTTP/1.0" 400 328 "-" "-" >> > 209.105.192.82 - - [12/Jan/2003:14:41:23 +0100] "GET >> > /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - "-" "-" >> > 194.27.78.23 - - [12/Jan/2003:16:22:31 +0100] "GET >> > /scripts/root.exe?/c+dir HTTP/1.0" 404 286 "-" "-" >> > 194.27.78.23 - - [12/Jan/2003:16:22:34 +0100] "GET /MSADC/root.exe?/c+dir >> > HTTP/1.0" 404 284 "-" "-" >> > 194.27.78.23 - - [12/Jan/2003:16:22:44 +0100] "GET >> > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" >> > 194.27.78.23 - - [12/Jan/2003:16:22:48 +0100] "GET >> > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" >> i jeszcze coś: to chyba nie pochodzi z inetu, raczej ktoś spoofuje Ja mam to samo i nawet doszedlem to tego co to jest :-) Prawdopodobnie masz siec i userow lubiacych Kazaa, eDonkeya z Mulem i ty podobnymi smieciami. U mnie dochodzilo do paru tysiecy polaczen na Apacha na minute wszystko zdychalo. Po paru miesiacach doszedlem do wniosku ze klienci z naszej sieci lacza sie z tymi hostami no i znalazlem przyczyne. Dziala to miejwiecej w ten sposob ze "odpowiedzi" do hosta z mojej sieci wala na ip zewnetrzne serwera na port 80(www) ale zdazalo mi sie juz 21(ftp). U mnie pomoglo wyciecie portow 4300:4600 ale i tak mam jeszcze czasami jakies polaczenia ale juz nie taka ilosc. Krotko mowiac sa to smieci z programow Peer to Peer. -- Tomasz Jajonek Administrator sieci PROTONET tel: 609-223-050 e-mail: [EMAIL PROTECTED] -- Tomasz Jajonek Administrator sieci PROTONET tel: 609-223-050 e-mail: [EMAIL PROTECTED]
Re: Dziwny dziw :)
On Sunday 19 of January 2003 13:54, Ruf10 wrote: > on Sun, 19 Jan 2003 13:32:55 +0100 (CET) t0masz zab0rowski <[EMAIL PROTECTED]> wrote: > > > i jeszcze coś: to chyba nie pochodzi z inetu, raczej ktoś > > > spoofuje > > > > dlaczego spoofing? > > bo łatwiej zrobić spoofing z lana niż distributed z inetu zapominasz o jednym - gdy karążł po sieci code red (wszystko jedno jaka odmiana) to tego typu ,,distributed'' (jak to nazwałeś) było na porządku dziennym. (i na moje ten robaczek nadal znajduje swoje ofiary ;-)) Pozdrawiam, Adam. -- .-[phantom at networkweavers dot net]--- -- - . . | Adam Kruszewski :: unix system administrator . key fingerprint :: E33C 45AC D0B2 41BB 845F . CC05 62AE 2CED AC10 BFA4
Re: Dziwny dziw :)
on Sun, 19 Jan 2003 13:32:55 +0100 (CET) t0masz zab0rowski <[EMAIL PROTECTED]> wrote: > > i jeszcze coś: to chyba nie pochodzi z inetu, raczej ktoś spoofuje > > dlaczego spoofing? bo łatwiej zrobić spoofing z lana niż distributed z inetu ***r-e-k-l-a-m-a** Chcesz oszczędzić na kosztach obsługi bankowej ? mBIZNES - konto dla firm http://epieniadze.onet.pl/mbiznes
Re: Dziwny dziw :)
On Sun, 19 Jan 2003, Ruf10 wrote: > on Sat, 18 Jan 2003 01:18:27 +0100 "Tomasz T. Ciaszczyk" <[EMAIL PROTECTED]> > wrote: > > > 61.55.142.76 - - [12/Jan/2003:14:07:15 +0100] "GET > > /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a > > HTTP/1.0" 400 328 "-" "-" > > 209.105.192.82 - - [12/Jan/2003:14:41:23 +0100] "GET > > /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - "-" "-" > > 194.27.78.23 - - [12/Jan/2003:16:22:31 +0100] "GET /scripts/root.exe?/c+dir > > HTTP/1.0" 404 286 "-" "-" > > 194.27.78.23 - - [12/Jan/2003:16:22:34 +0100] "GET /MSADC/root.exe?/c+dir > > HTTP/1.0" 404 284 "-" "-" > > 194.27.78.23 - - [12/Jan/2003:16:22:44 +0100] "GET > > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" > > 194.27.78.23 - - [12/Jan/2003:16:22:48 +0100] "GET > > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" > i jeszcze coś: to chyba nie pochodzi z inetu, raczej ktoś spoofuje dlaczego spoofing? tomcio tomasz grzegorz zaborowski --/-- operator sieci komputerowej, IFT, UWr. http://zabora.of.pl /-[ http://zas.ift.uni.wroc.pl [EMAIL PROTECTED] /-[ 071 3759402 ---/-PHP-JAVA-SQL-CGI-HTML-UNIX-SECURE-NET-AMIGA
Re: Dziwny dziw :)
on Sat, 18 Jan 2003 01:18:27 +0100 "Tomasz T. Ciaszczyk" <[EMAIL PROTECTED]> wrote: > 61.55.142.76 - - [12/Jan/2003:14:07:15 +0100] "GET > /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a > HTTP/1.0" 400 328 "-" "-" > 209.105.192.82 - - [12/Jan/2003:14:41:23 +0100] "GET > /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - "-" "-" > 194.27.78.23 - - [12/Jan/2003:16:22:31 +0100] "GET /scripts/root.exe?/c+dir > HTTP/1.0" 404 286 "-" "-" > 194.27.78.23 - - [12/Jan/2003:16:22:34 +0100] "GET /MSADC/root.exe?/c+dir > HTTP/1.0" 404 284 "-" "-" > 194.27.78.23 - - [12/Jan/2003:16:22:44 +0100] "GET > /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" > 194.27.78.23 - - [12/Jan/2003:16:22:48 +0100] "GET > /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" > > itd etc.. ale tego typu.. > imho nie masz się czym martwić: ktoś szuka iisowych dziur w Twoim apachu - sądzisz że coś znajdzie? i jeszcze coś: to chyba nie pochodzi z inetu, raczej ktoś spoofuje ***r-e-k-l-a-m-a** Chcesz oszczędzić na kosztach obsługi bankowej ? mBIZNES - konto dla firm http://epieniadze.onet.pl/mbiznes
Re: Dziwny dziw :)
On Sat, 18 Jan 2003, Tomasz T. Ciaszczyk wrote: > : > IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" > : imho, jakis wirus... ja mialem dziwne logi z wirusow atakujacych > : microsoftowe I-costam... taki serwer www, zawsze zapimniam nazwy > IIS. > Wirus ten nie pytal si eo takie smieci tylko o: nie twierdze ze to nimbda... moze to cos "nastepnego" w sumie sam jestem ciekaw cio to moze byc? tomcio tomasz grzegorz zaborowski --/-- operator sieci komputerowej, IFT, UWr. http://zabora.of.pl /-[ http://zas.ift.uni.wroc.pl [EMAIL PROTECTED] /-[ 071 3759402 ---/-PHP-JAVA-SQL-CGI-HTML-UNIX-SECURE-NET-AMIGA
Re: Dziwny dziw :)
t0masz zab0rowski napisał w dniu pią, sty 17, 2003 at 11:49:37 CET co następuje: : On Fri, 17 Jan 2003, Łukasz Nowak wrote: : : > Witam, : > : > Coś mnie apacz ostatnio zaskoczył. To co następuje: : > : > IP1 - - [17/Jan/2003:22:38:20 +0100] "\xe3V" 401 - "-" "-" : > IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" : : error 401 to: brak autoryzacji, user pyta o dokument, ale nie podal : prawidlowego loginu lub paselka : : imho, jakis wirus... ja mialem dziwne logi z wirusow atakujacych : microsoftowe I-costam... taki serwer www, zawsze zapimniam nazwy IIS. Wirus ten nie pytal si eo takie smieci tylko o: 61.55.142.76 - - [12/Jan/2003:14:07:15 +0100] "GET /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 400 328 "-" "-" 209.105.192.82 - - [12/Jan/2003:14:41:23 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - "-" "-" 194.27.78.23 - - [12/Jan/2003:16:22:31 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 286 "-" "-" 194.27.78.23 - - [12/Jan/2003:16:22:34 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-" 194.27.78.23 - - [12/Jan/2003:16:22:44 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" 194.27.78.23 - - [12/Jan/2003:16:22:48 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-" itd etc.. ale tego typu.. -- Pozdrawiam, TTC .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.- .:: Tomasz T. Ciaszczyk [ ciachociacho.pl ] >> http://ciacho.pl << .:: .:: Beware of the ... Oh, NOOO! Arghhh! `-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- pgp2QszbPhulm.pgp Description: PGP signature
Re: Dziwny dziw :)
On Fri, 17 Jan 2003, Łukasz Nowak wrote: > Witam, > > Coś mnie apacz ostatnio zaskoczył. To co następuje: > > IP1 - - [17/Jan/2003:22:38:20 +0100] "\xe3V" 401 - "-" "-" > IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" error 401 to: brak autoryzacji, user pyta o dokument, ale nie podal prawidlowego loginu lub paselka imho, jakis wirus... ja mialem dziwne logi z wirusow atakujacych microsoftowe I-costam... taki serwer www, zawsze zapimniam nazwy tomcio tomasz grzegorz zaborowski --/-- operator sieci komputerowej, IFT, UWr. http://zabora.of.pl /-[ http://zas.ift.uni.wroc.pl [EMAIL PROTECTED] /-[ 071 3759402 ---/-PHP-JAVA-SQL-CGI-HTML-UNIX-SECURE-NET-AMIGA
Re: Dziwny dziw :)
On Fri, Jan 17, 2003 at 10:32:18PM +0100, Łukasz Nowak wrote: > IP1 - - [17/Jan/2003:22:38:20 +0100] "\xe3V" 401 - "-" "-" > IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" > IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" > IP3 - - [17/Jan/2003:22:38:21 +0100] "\xe3B" 401 - "-" "-" > IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" > IP3 - - [17/Jan/2003:22:38:22 +0100] "\xe3B" 401 - "-" "-" > IP3 - - [17/Jan/2003:22:38:25 +0100] "\xe3B" 401 - "-" "-" > IP4 - - [17/Jan/2003:22:38:26 +0100] "\xe3C" 401 - "-" "-" > IP5 - - [17/Jan/2003:22:38:26 +0100] "\xe3@" 401 - "-" "-" > IP6 - - [17/Jan/2003:22:38:28 +0100] "\xe3<" 401 - "-" "-" > IP7 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" > IP8 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" > IP8 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" > IP8 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" > IP9 - - [17/Jan/2003:22:38:32 +0100] "\xe3J" 401 - "-" "-" > > IPn (n:<1-9>) są z różnych części świata, dość mocno niepowiązane. Nie > uważam, aby to był dscan, a na 100% nie dDos, ale jest to ciekawe. Macie > coś podobnego w logach? Czy może "muj prowezjonalny prowajder" sobie ze > mnie "prowezjonalne" jaja robi? ;) Swego czasu było coś takiego, jakiś exploit alboco. Ja przechodziłem to gdzieś w październiku. -- Bartłomiej Krajewski bartek @ kozanostra.org || kozanostra.internetdsl.pl
Dziwny dziw :)
Witam, Coś mnie apacz ostatnio zaskoczył. To co następuje: IP1 - - [17/Jan/2003:22:38:20 +0100] "\xe3V" 401 - "-" "-" IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" IP3 - - [17/Jan/2003:22:38:21 +0100] "\xe3B" 401 - "-" "-" IP2 - - [17/Jan/2003:22:38:21 +0100] "\xe3A" 401 - "-" "-" IP3 - - [17/Jan/2003:22:38:22 +0100] "\xe3B" 401 - "-" "-" IP3 - - [17/Jan/2003:22:38:25 +0100] "\xe3B" 401 - "-" "-" IP4 - - [17/Jan/2003:22:38:26 +0100] "\xe3C" 401 - "-" "-" IP5 - - [17/Jan/2003:22:38:26 +0100] "\xe3@" 401 - "-" "-" IP6 - - [17/Jan/2003:22:38:28 +0100] "\xe3<" 401 - "-" "-" IP7 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" IP8 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" IP8 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" IP8 - - [17/Jan/2003:22:38:30 +0100] "\xe3P" 401 - "-" "-" IP9 - - [17/Jan/2003:22:38:32 +0100] "\xe3J" 401 - "-" "-" IPn (n:<1-9>) są z różnych części świata, dość mocno niepowiązane. Nie uważam, aby to był dscan, a na 100% nie dDos, ale jest to ciekawe. Macie coś podobnego w logach? Czy może "muj prowezjonalny prowajder" sobie ze mnie "prowezjonalne" jaja robi? ;) Pozdrawiam, Łukasz PS. Właśnie googlnąłem za tymi znaczkami, a tu cisza. To aż tak stare?;) -- Łukasz Nowak | Civilization starts with espresso... pgps4Oy7zzxsm.pgp Description: PGP signature
