Forum Debian Users Gang

Muchomorr · 2009-01-16 20:33:59

Odkad dziala na moim debianku apache zdarza mi sie mnostwo zapytan do nieistniejacych plikow katalogow a w szczegolnosci (najczestzy):

Kod:

[Fri Jan 16 10:36:20 2009] [error] [client 209.139.208.74] File does not exist: /home/borowik/public_html/roundcube 
[Fri Jan 16 10:36:21 2009] [error] [client 209.139.208.74] File does not exist: /home/borowik/public_html/webmail 
[Fri Jan 16 10:36:21 2009] [error] [client 209.139.208.74] File does not exist: /home/borowik/public_html/mail 
[Fri Jan 16 10:36:21 2009] [error] [client 209.139.208.74] File does not exist: /home/borowik/public_html/rc

Mnostwo podonych z roznych IP, cos jakby ktos mial jakis Botnet czy cos. (Tak mi to wyglada z moich doswiadczen z IRC'a) Pooblokowalem juz z jakichs 30 hostow wykonujacych tego typu zapytania, i jest to coraz zadsze. Ogolnie ostatanio dostalem loga jakiegos bardziej rozbudowanego "scana" .

Kod:

Security Events 
=-=-=-=-=-=-=-= 
[Fri Jan 16 12:10:27 2009] [error] [client 83.18.217.3] client denied by server configuration: /usr/share/doc/ 
[Fri Jan 16 12:10:27 2009] [error] [client 83.18.217.3] client denied by server configuration: /usr/share/doc/NonExistent.html 
Jan 16 12:10:22 debian postfix/smtpd[30366]: lost connection after VRFY from bwj3.internetdsl.tpnet.pl[83.18.217.3] 
Jan 16 12:10:23 debian postfix/smtpd[30399]: warning: bwj3.internetdsl.tpnet.pl[83.18.217.3]: SASL CRAM-MD5 authentication failed: no mechanism available 
Jan 16 12:10:24 debian postfix/smtpd[30378]: warning: SASL authentication failure: Couldn't find mech GSSAPI 
Jan 16 12:10:24 debian postfix/smtpd[30378]: warning: bwj3.internetdsl.tpnet.pl[83.18.217.3]: SASL GSSAPI authentication failed: no mechanism available 

System Events 
=-=-=-=-=-=-= 
[Fri Jan 16 12:09:34 2009] [error] [client 83.18.217.3] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /

Reszta tuaj, uprzedzam kawal loga :) http://wklej.org/id/40077/
I mialbym 2 pytania:
1. Jak bardzo niebezpieczne jest pierwsza sekcja dotyczaca postfixa, wydaje mi sie ze to bylo w celu znalezienia "open relay serwera" ? W celu uzycia go do rozsylania spamu ??
2. Jest sens zlgaszac do abuse@tpnet.pl takiego loga ?
3. jest jakies narzedzie aby po wykryciu GET do apache np /mail automatycznie dodawac hosta do hosts.deny ?

P.S. Mam nadzieje ze moj Debianek nie robi za "zombie" bez mojej wiedzy :(

kayo · 2009-01-16 21:26:57

Ktoś odpalil skrypt do skanowania czy przypadkiem nie ma jakiejs zabugowanej aplikacji webowej... jak wyslesz do abuse to i tak cie cieplym moczem zleja...

bercik · 2009-01-17 14:14:25

Muchomorr napisał(-a):
2. Jest sens zlgaszac do abuse@tpnet.pl takiego loga ?

dlaczego tpnet.pl jak 209.139.208.74 to adres z Kanady ... raczej support@esecuredata.com

Muchomorr napisał(-a):
3. jest jakies narzedzie aby po wykryciu GET do apache np /mail automatycznie dodawac hosta do hosts.deny ?

mozesz logi przed zapisem do pliku puszczac przez skrypt (TransferLog w konfigu Apache) ktory bedzie reagowal na taki wpis w logu i blokowal ...

Muchomorr · 2009-01-17 16:45:31

bwj3.internetdsl.tpnet.pl o tego hosta mi chodzilo bo ten to wyprodukowal ten kawal loga ktory jest w zewn. linku, czyli strzelam bardziej "kompetentny" poszukiwacz dziur zazwyczaj to wyglada tak jak w przypadku 209. .... raz sie chyba zdarzyly poszukiwania "phpmyadmin" Aha a co do pkt 1 mam racje czy nie ?

Forum Debian Users Gang

Ogłoszenie

#1 2009-01-16 20:33:59

Muchomorr - Użytkownik

Prosba o zerkniecie na loga

Kod:

Kod:

#2 2009-01-16 21:26:57

kayo - Członek DUG

Re: Prosba o zerkniecie na loga

#3 2009-01-17 14:14:25

bercik - Moderator Mamut

Re: Prosba o zerkniecie na loga

Muchomorr napisał(-a):

Muchomorr napisał(-a):

#4 2009-01-17 16:45:31

Muchomorr - Użytkownik

Re: Prosba o zerkniecie na loga

Stopka forum