RES: [FUGSPBR] OPASERV.H (www.instituto.com.br/attackDoS.php)

Kleyson Rios Mon, 29 Sep 2003 12:05:15 -0700

Os sites que o opaserv tenta acessar sao:

  www.opasoft.com
  www.n3t.com.br
  www.institucional.com.br


E a melhor forma que vc tem � limpar as maquinas. Eu tive aqui um problema
muito serio com ele, por eu ter uma quantidade grande de clientes o virus
alem de consumir muita banda de internet estava causando um DoS no meu
squid.

[]'s Kleyson Rios.

-----Mensagem original-----
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]
nome de Rogerio Heringer
Enviada em: segunda-feira, 29 de setembro de 2003 14:03
Para: Grupo Brasileiro de Usuarios FreeBSD
Assunto: [FUGSPBR] OPASERV.H (www.instituto.com.br/attackDoS.php)


root@(server2/ttyp0)[~]# tail -f /var/squid/logs/access.log  |grep ins
1064862024.208      7 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.436      7 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.664     11 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.794   6058 200.141.231.40 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.795     11 200.141.231.134 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.836      7 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/
...
 olhando os logs do squid verifiquei q tem maquinas na rede contaminadas com
o opaserv ...
gostaria de saber quais paginas o opaserv tenta abrir como essa do instituto
(o site mesmo ja foi ateh desativado pelo DoS gigante)


queria saber se tem outro site na mira do atake.

queria saber tb se tem como barrar isso no PF ou no IPFW ....

as portas 135 a 139 ja foram barradas...


 []'s

Rogerio Heringer

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

RES: [FUGSPBR] OPASERV.H (www.instituto.com.br/attackDoS.php)

Responder a