форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Что за эксплоит"
Сообщение от zhr (ok) on 13-Апр-04, 07:51  (MSK)
Сегодня в логах Apache обнаружил следующее 217.224.241.118 - - [12/Apr/2004:22:03:51 +0700]"SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1 ... и т.д. ... 414 367 "-" "-" Общая длина запроса около 28800 символов, ее чуть не помер пока до конца строке не добрался. Видно что сервер запрос отфутболил, но хотелось бы занть что эт такое было ? Сильно смахиват на попытку переполнить буфер и загрузить свой код в память.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Что за эксплоит"
Сообщение от ra (??) on 13-Апр-04, 13:14  (MSK)
Кто-то хочет или сломать хост или сканит чем-нибудь вроде SSS, XSpider.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Что за эксплоит"
	Сообщение от zhr (??) on 13-Апр-04, 15:29  (MSK)
	Блин ... опять. На этот раз адрес правда другой 217.129.118.46 Знать бы против чего это атака. Если в расчёте на то что IIS стоит, то и фиг с ним. А если в Apache дыра :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Что за эксплоит"
	Сообщение от scum (??) on 16-Апр-04, 12:24  (MSK)
	Трудно судить точно, что это такое, нало смотреть всю строку запроса. Но если исходить из строки "\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1" и т.д., то это очень похоже на buffer overflow shell script. Попробуй скачать правила для снорта на http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz и поищи свою строку там.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Что за эксплоит"
	Сообщение от zhr (??) on 16-Апр-04, 14:13  (MSK)
	>Трудно судить точно, что это такое, нало смотреть всю строку запроса. Но >если исходить из строки "\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1" и т.д., то это очень похоже >на buffer overflow shell script. Попробуй скачать правила для снорта на >http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz >и поищи свою строку там. Ну да. В правилах snort есть что то  похожее 90 : набор юникод симолов : чередование 90 00 90 00 из рязряда buffer overflow shell script. И таких записей в логах 3-4 задень. Все с европейских adsl провайдеров (всегда разных). Неделя вообще ж началась  с того что понедельник-вторник clamav прибивал 70-80 писем с вирусняками (эт на не большую фирму) плюс всякие мелочи аля залогинится по ssh и прощупывание на предмет открытого прокси. От мании приследования спасает тока мысль, что эт кого-то по старой памяти ... я в пятницу (прошлую) на новый блок IP адресов перешёл :))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Что за эксплоит"
	Сообщение от ultrafire ES on 17-Сен-04, 23:52  (MSK)
	>Знать бы против чего это атака. Если в расчёте на то что >IIS стоит, то и фиг с ним. А если в Apache >дыра :( Да эта атака на IIS так что не боись, у самого такая бяка случилася... Это эксплоит для WebDAV... Переполнение буфера в ntdll.dll...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.