форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Лог апача... Что это?"
Сообщение от mix_2002 on 04-Окт-02, 19:30  (MSK)
В логах Апача нашел строку в которой записано что был запрос "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 400 328 что это значит??? Объясните... А еще строки были get /porno.ru 404 как ето понимать?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Лог апача... Что это?"
Сообщение от ghost on 05-Окт-02, 02:50  (MSK)
Это использование уязвимости переполнения буфера имени переменной в скрипте default.ida. Огромное кол-во "N" для забивки буфера, а конец этой строки должен был переписать адрес возврата из процедуры в стеке. В результате возврат произойдет на конечные байты этой строки и вытащят основное тело червя ;). /Ghost
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Лог апача... Что это?"
	Сообщение от mix_2002 on 05-Окт-02, 12:26  (MSK)
	>Это использование уязвимости переполнения буфера имени переменной в скрипте default.ida. Огромное кол-во >"N" для забивки буфера, а конец этой строки должен был переписать >адрес возврата из процедуры в стеке. В результате возврат произойдет на >конечные байты этой строки и вытащят основное тело червя ;). > >/Ghost Блин, похоже я эаражен. Сегодня пришел и увидел сообщения ad0: WRITE command time out tag=0 serv=0 - reseting ata0: reseting devises Что делать и как лечить? какой патч ставить чтоб не повторилось? Спасибо
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Лог апача... Что это?"
	Сообщение от J on 07-Окт-02, 17:43  (MSK)
	>>Это использование уязвимости переполнения буфера имени переменной в скрипте default.ida. Огромное кол-во >>"N" для забивки буфера, а конец этой строки должен был переписать >>адрес возврата из процедуры в стеке. В результате возврат произойдет на >>конечные байты этой строки и вытащят основное тело червя ;). >> >>/Ghost > >Блин, похоже я эаражен. Сегодня пришел и увидел сообщения >ad0: WRITE command time out tag=0 serv=0 - reseting >ata0: reseting devises > >Что делать и как лечить? какой патч ставить чтоб не повторилось? > >Спасибо а что, у вас апач от рута работает? если больше никаких дырок нет, вряд ли червь получил право обращаться к ata напрямую
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Лог апача... Что это?"
	Сообщение от Pilot on 25-Ноя-02, 11:28  (MSK)
	> >а что, у вас апач от рута работает? >если больше никаких дырок нет, вряд ли червь получил право обращаться к >ata напрямую у меня похоже аналогичная беда, судя по логам апача. Тогда, как запустить апач не от рута? И вообще, что бы не забиывали стек или найти того червя? Спасибо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Лог апача... Что это?"
	Сообщение от Dima on 25-Ноя-02, 21:04  (MSK)
	IMHO это от IIS дырка. Для апача не страшно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.