Страница 1 из 1
подозрение на вирус
Добавлено: 2008-08-06 8:00:20
zg
в логах апача встречаются строчки
Код: Выделить всё
192.168.33.10 - - [14/Jul/2008:11:38:12 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.33.10 - - [14/Jul/2008:11:38:12 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.33.10 - - [14/Jul/2008:11:38:13 +0600] "PROPFIND /asdf HTTP/1.1" 403 214 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
192.168.33.10 - - [14/Jul/2008:11:38:13 +0600] "PROPFIND /asdf HTTP/1.1" 403 214 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
насколько я понял, у клиента 192.168.33.10 на компе стоит вирусяга?
Re: подозрение на вирус
Добавлено: 2008-08-07 22:14:07
zingel
нет, Вас сканируют дешевым образом
Re: подозрение на вирус
Добавлено: 2008-08-09 9:48:24
zg
это ip нашего админа в тех поддержке, у которого есть рутовый доступ на сервак, да и сканить он не умеет, ну и смысл сканить сервер, на котором ничего нет?.. меня смутило, что таких запросов было 20 штук в течение одной секунды.
Re: подозрение на вирус
Добавлено: 2008-08-09 13:47:24
ProFTP
поставь статистику, и смотри какой айпи за сколько времени нагенерил трафика, спамботы очень часто заходяд через прокси (а прокси может быть вирус) или с под сетей с динамическими айпи...
у меня бывает что 30 айпишником по 100мегабайт нагенерят за сутки на сайте при 600 хостов, хотели флудануть наверное что-то
раньше дос был, как только отключить dosevansive, то httpd переставал отвичать
Re: подозрение на вирус
Добавлено: 2008-08-09 15:47:24
zg
меня не столько последствия интерисуют сколько сама причина. Просто, раньше как-то не сталкивался, думал, может кто знает, что это за зверь
Re: подозрение на вирус
Добавлено: 2008-08-10 8:41:00
dikens3
На сервере Samba стоит?
http://ru.wikipedia.org/wiki/WebDAV
Код: Выделить всё
PROPFIND — Получение свойств объекта на сервере в формате XML. Так же можно получать структуру репозитория (дерево каталогов).
Re: подозрение на вирус
Добавлено: 2008-08-10 9:31:29
zg
dikens3 писал(а):На сервере Samba стоит?
стоит, но по сети заходят несколько машин, а такая бяка только с одной. И меня смущает количество попыток, за одну секунду около десяти при ответе 403...
за ссылку спасибо
ща буду курить чё там и зачем. Я такое видел в одной хакерской книге, так ломался IIS, поэтому и грешу на вирус.
Re: подозрение на вирус
Добавлено: 2008-08-10 19:01:32
dikens3
Веб-клиент (WebClient) - позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV* (использование Web Publishing Wizard для публикации данных в Интернет). На просмотр ресурсов в Интернете отключение этой службы никак не влияет, поскольку она используется только для WebDAV-подключений, к тому же программы, которым этот сетевой протокол необходим, как правило, имеют встроенные перенаправители WebDAV, работающие независимо от службы "Веб-клиент" (MS06-008).
Отключи просто WEBDAV.
Re: подозрение на вирус
Добавлено: 2008-08-10 21:19:16
zg
dikens3 писал(а):Отключи просто WEBDAV.
рад бы, но сейчас на закрытом хостинге появились логи
Код: Выделить всё
85.128.55.11 - - [06/Aug/2008:16:51:27 +0600] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 335 "-" "-"
79.143.139.14 - - [07/Aug/2008:21:42:22 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft- WebDAV-MiniRedir/5.1.2600"
79.143.139.14 - - [07/Aug/2008:21:42:23 +0600] "OPTIONS / HTTP/1.1" 403 210 "-" "Microsoft- WebDAV-MiniRedir/5.1.2600"
83.23.125.217 - - [09/Aug/2008:09:49:08 +0600] "OPTIONS * HTTP/1.0" 408 - "-" "-"
у кого её отключать? не во францию же ехать
мля, вирусяга мать его... отослал ип
dikens3, спасибо ещё раз!