|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Dmitry Teplyakov 2:5020/400 20 Nov 2003 18:34:25
To : All
Subject : Странная атака на веб-сервер
--------------------------------------------------------------------------------
Здравствуйте!
Имеется сервер на freebsd с apache и snort. Сегодня заметил сообщение в
журнале снорта:
[**] [1:1156:4] WEB-MISC apache DOS attempt [**]
[Classification: Attempted Denial of Service] [Priority: 2]
11/20-15:45:09.894589 кто-то-там:1025 -> мой-веб-сервер:80
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:65520
***AP*** Seq: 0x8C4EF2C2 Ack: 0x71A52014 Win: 0xE420 TcpLen: 20
Кусок дампа пришедшего пакета, сохраненный снортом:
GET /left/bt_mn_sh3_active.gif HTTP/1.1^M
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98) Opera 6.01
[ru]^M
Accept: text/html, image/png, image/jpeg, image/gif, image/x-xbitmap,
AAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
^M
Вроде бы все ясно - типичная DOS - атака, но есть одна странность. Я
посмотрел логи апача. Так вот, "атакующий" человек до этого спокойно ходил
по сайту какое-то время. И во время прихода этого пакета в журнале апача
стоит запись:
>кто-то-там - - [20/Nov/2003:15:45:09 +0200] "GET
/left/bt_mn_sh3_active.gif. 200 1152
Т.е. вроде бы апач не увидел ни атаки ни огромного пакета. Вот и думаю
теперь - либо это действительно атака была, либо у сервера крышу рвануло.
Может у кого есть мысли по этому поводу?
Заранее спасибо. Дмитрий
--- ifmail v.2.15dev5.1
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Странная атака на веб-сервер |
Dmitry Teplyakov |
20 Nov 2003 18:34:25 |
 Стpанная атака на веб-сеpвеp |
Alexey Podtoptalow |
21 Nov 2003 12:34:34 |
|
|
