Redirecionando os pedidos criados pelo Code Red / Nimda
Normalmente os hackers tentam invadir seu sistema, inserindo alguns programas em seu computador, ou simplesmente alguns já prontos que ficam scaneando a NET e pegar alguma vulnerabilidade em sistemas, e desta maneira, controlar seu computador.
200.171.29.215 - - [31/Mar/2003:16:58:36 -0300] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 302 732
200.171.29.215 - - [31/Mar/2003:16:58:36 -0300] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 302 732 "-" "-"
Neste exemplo, um DESCARADO, tenta repetidamente invadir meu computador..mas sem sucesso. Primeiro, porquê ele é automaticamente redirecionado ( veja código 302 ) para uma página Pornográfica. Segundo porquê o APACHE é Imune a estes ataques.
Com o CME.exe, a mesma coisa. Eles tentam acessar seu Drive, o diretório do Windows e executar o CMD.EXE, equivalente ao COMMAND.COM do windows 98.
Então, aquelas linhas de comando no APACHE, fazem com que eles, na hora que acessem o sistema, redirecionam eles automaticamente e instantâneamente para onde eu quiser.
É bom dar um pouco de trabalho para eles.
ABraços
Mike
200.171.29.215 - - [31/Mar/2003:16:58:36 -0300] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 302 732
200.171.29.215 - - [31/Mar/2003:16:58:36 -0300] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 302 732 "-" "-"
Neste exemplo, um DESCARADO, tenta repetidamente invadir meu computador..mas sem sucesso. Primeiro, porquê ele é automaticamente redirecionado ( veja código 302 ) para uma página Pornográfica. Segundo porquê o APACHE é Imune a estes ataques.
Com o CME.exe, a mesma coisa. Eles tentam acessar seu Drive, o diretório do Windows e executar o CMD.EXE, equivalente ao COMMAND.COM do windows 98.
Então, aquelas linhas de comando no APACHE, fazem com que eles, na hora que acessem o sistema, redirecionam eles automaticamente e instantâneamente para onde eu quiser.
É bom dar um pouco de trabalho para eles.
ABraços
Mike
31/03/2003 5:53pm
(~21 anos atrás)
Cara vc poderia dar uma explicacao mais vasta ou melhor sobre essa ultima parte do artigo q vc fala do cmd.exe?
grato...
grato...
28/03/2003 7:23pm
(~21 anos atrás)
Eu tinha uma alternativa não muito eficaz como a sua. A minha retira do arquivo erro_log porém continua aparecendo no access_log.
<IfModule mod_alias.c>
RedirectMatch (.*)cmd.exe$ http://www.microsoft.com
RedirectMatch (.*)root.exe$ http://www.microsoft.com
RedirectMatch (.*)default.ida$ http://www.microsoft.com
RedirectMatch (.*)12345.html$ http://www.microsoft.com
</IfModule>