On Thu, Dec 13, 2001 at 07:20:39AM -0200, Celso Marcellini wrote: > Bom Dia Lista: > > Tenho verificado diariamente nos logs do meu Apache mensagens do tipo: > > "GET /scripts/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-" > "GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-" > "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-" > "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-" > > Verifiquei tratar-se do NIMDA. Felizmente a m�quina est� limpa! > Minha pergunta � a seguinte: existe algum tipo de worm que afeta > servidores Linux Apache? Abra�os a todos.
Boa tarde Celso! Geralmente estes ataques s�o direcionados para servidores IIS e n�o afetam o Apache. Por�m existem outros que exploram vulnerabilidades de determinados servidores. Ex.: Quem usa o Bind-8.2.2P5 e REL corre s�rio risco de ser invadido e passar a hospedar um "root kit"*. Geralmente se instalam como servidor SSH em uma porta alta, pra l� de 50000. Tudo isto pq existem scripts que buscam vers�es espec�ficas de servidores, que possuem furos de seguran�a conhecidos, e exploram tais furos. O neg�cio � manter seus servidores sempre atualizados / patcheados. D� uma olhadinha neste site: http://www.securiteam.com (l� voc� pode, inclusive, arrumar exploits p/ testar os furos) p/ quem n�o sabe... Root kit = Programinha que abre acesso, com privil�gios de su, para o invasor. []'s Christiano Assinantes em 13/12/2001: 2360 Mensagens recebidas desde 07/01/1999: 146241 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
