подозрение на вирус

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

подозрение на вирус

Непрочитанное сообщение zg » 2008-08-06 8:00:20

в логах апача встречаются строчки

Код: Выделить всё

192.168.33.10 - - [14/Jul/2008:11:38:12 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.33.10 - - [14/Jul/2008:11:38:12 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.33.10 - - [14/Jul/2008:11:38:13 +0600] "PROPFIND /asdf HTTP/1.1" 403 214 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.33.10 - - [14/Jul/2008:11:38:13 +0600] "PROPFIND /asdf HTTP/1.1" 403 214 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
насколько я понял, у клиента 192.168.33.10 на компе стоит вирусяга?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: подозрение на вирус

Непрочитанное сообщение zingel » 2008-08-07 22:14:07

нет, Вас сканируют дешевым образом =)
Z301171463546 - можно пожертвовать мне денег

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: подозрение на вирус

Непрочитанное сообщение zg » 2008-08-09 9:48:24

это ip нашего админа в тех поддержке, у которого есть рутовый доступ на сервак, да и сканить он не умеет, ну и смысл сканить сервер, на котором ничего нет?.. меня смутило, что таких запросов было 20 штук в течение одной секунды.

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: подозрение на вирус

Непрочитанное сообщение ProFTP » 2008-08-09 13:47:24

поставь статистику, и смотри какой айпи за сколько времени нагенерил трафика, спамботы очень часто заходяд через прокси (а прокси может быть вирус) или с под сетей с динамическими айпи...
у меня бывает что 30 айпишником по 100мегабайт нагенерят за сутки на сайте при 600 хостов, хотели флудануть наверное что-то
раньше дос был, как только отключить dosevansive, то httpd переставал отвичать
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: подозрение на вирус

Непрочитанное сообщение zg » 2008-08-09 15:47:24

меня не столько последствия интерисуют сколько сама причина. Просто, раньше как-то не сталкивался, думал, может кто знает, что это за зверь :smile:

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: подозрение на вирус

Непрочитанное сообщение dikens3 » 2008-08-10 8:41:00

На сервере Samba стоит?

http://ru.wikipedia.org/wiki/WebDAV

Код: Выделить всё

PROPFIND — Получение свойств объекта на сервере в формате XML. Так же можно получать структуру репозитория (дерево каталогов).
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: подозрение на вирус

Непрочитанное сообщение zg » 2008-08-10 9:31:29

dikens3 писал(а):На сервере Samba стоит?
стоит, но по сети заходят несколько машин, а такая бяка только с одной. И меня смущает количество попыток, за одну секунду около десяти при ответе 403...

за ссылку спасибо :smile: ща буду курить чё там и зачем. Я такое видел в одной хакерской книге, так ломался IIS, поэтому и грешу на вирус.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: подозрение на вирус

Непрочитанное сообщение dikens3 » 2008-08-10 19:01:32

Веб-клиент (WebClient) - позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV* (использование Web Publishing Wizard для публикации данных в Интернет). На просмотр ресурсов в Интернете отключение этой службы никак не влияет, поскольку она используется только для WebDAV-подключений, к тому же программы, которым этот сетевой протокол необходим, как правило, имеют встроенные перенаправители WebDAV, работающие независимо от службы "Веб-клиент" (MS06-008).
Отключи просто WEBDAV.
Вложения
webdav.jpg
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: подозрение на вирус

Непрочитанное сообщение zg » 2008-08-10 21:19:16

dikens3 писал(а):Отключи просто WEBDAV.
рад бы, но сейчас на закрытом хостинге появились логи

Код: Выделить всё

85.128.55.11 - - [06/Aug/2008:16:51:27 +0600] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1"   400 335 "-" "-"
79.143.139.14 - - [07/Aug/2008:21:42:22 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft-  WebDAV-MiniRedir/5.1.2600"
79.143.139.14 - - [07/Aug/2008:21:42:23 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft-  WebDAV-MiniRedir/5.1.2600"
83.23.125.217 - - [09/Aug/2008:09:49:08 +0600] "OPTIONS * HTTP/1.0" 408 - "-" "-"
у кого её отключать? не во францию же ехать :smile: мля, вирусяга мать его... отослал ип :(

dikens3, спасибо ещё раз!