[linux] Re: sappige wormen

[Roeland Th. Jansen]

On Mon, Mar 14, 2005 at 08:11:26AM +0100, paai wrote:
> Ik wil de studenten weer eens laten zien wat voor inbraakpogingen
> via de logfiles zichtbaar te maken zijn. Een paar jaar geleden
> hoefde ik alleen maar 'grep NNN < access_log' in te typen voor een
> huiveringwekkende lijst code red wormen; wat is tegenwoordig een
> veel voorkomende string in de apache of system logfiles die op
> inbraakpogingen e.d. wijst?


pogingen wil ik het niet noemen. maar dit bijvoorbeeld :

80.109.204.38 - - [04/Feb/2005:12:00:48 +0100] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
(hele riedel)

80.108.207.107 - - [08/Feb/2005:09:21:01 +0100] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
(hele riedel)

maar momenteel is het hier redelijk rustig moet ik zeggen.

grep SEARCH acces_log | wc -l levert 17 op. 04 feb --> 14 mar

grep SEARCH access_log|cut -d " " -f1|sort|uniq|wc -l levert 16 op.


219.255.4.63 
221.237.182.133
221.237.182.137
221.237.182.140
221.237.182.141
221.237.182.143
221.237.182.148
221.237.182.150
221.7.225.5
62.42.116.250
80.108.207.107
80.108.84.218
80.109.197.29
80.109.204.38
80.180.24.192
80.46.175.213

kan je 't zooitje direct in whois duwen en met wat ander knutselwerk de
abuse helldesk direct mailen als je dat zou willen. hmm, leuk klusje
voor de leerlingen ;-)


andere vorm is:

221.237.182.137 - - [22/Feb/2005:10:34:08 +0100] "POST
/_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 1051 "-" "-"

maar dat was het hier zo'n beetje. de meesten zijn eigenlijk gewone
logs.
 

-- 
http://www.linux-it.nl