Что-то зацепили...

Обсуждение технических вопросов по продуктам Novell

Что-то зацепили...

Сообщение Владимир Горяев » 01 окт 2003, 17:59

Смотрю что-то не то:shock:
HTTP COMMON LOG растет и растет, проц подгружается. Запроса в основном типа:

Код: Выделить всё
192.168.149.35 - - [01/Oct/2003:16:45:24 +0400] ...
"GET http://www.speedy.com.br/bandapodre/merda?ver=01&task=newzad&first=1 HTTP/1.1" 403 3598
192.168.149.35 - - [01/Oct/2003:16:45:24 +0400] "GET http://www.speedy.com.br/bandapodre/merda?ver=01&task=newzad&first=1 HTTP/1.1" 403 3598
192.168.149.35 - - [01/Oct/2003:16:45:24 +0400] "GET http://www.speedy.com.br/bandapodre/merda?ver=01&task=newzad&first=1 HTTP/1.1" 403 3598
192.168.149.35 - - [01/Oct/2003:16:45:24 +0400] "GET http://www.speedy.com.br/bandapodre/merda?ver=01&task=newzad&first=1 HTTP/1.1" 403 3598
192.168.149.35 - - [01/Oct/2003:16:45:24 +0400] "GET http://www.speedy.com.br/bandapodre/merda?ver=01&task=newzad&first=1 HTTP/1.1" 403 3598
192.168.149.35 - - [01/Oct/2003:16:45:24 +0400] "GET http://www.speedy.com.br/bandapodre/merda?ver=01&task=newzad&first=1 HTTP/1.1" 403 3598
192.168.149.35 - - [01/Oct/2003:16:45:24 +0400] "GET http://www.speedy.com.br/bandapodre/merda?ver=01&task=newzad&first=1 HTTP/1.1" 403 3598
192.168.149.35 - - [01/Oct/2003:16:45:24 +0400] "GET http://www.speedy.com.br/bandapodre/merda?ver=01&task=newzad&first=1 HTTP/1.1" 403 3598
...

таких пользователей шт 10. Началось вчера часов в 8, причем вчера инета не было (техработы), а лог 65М на 99,99% такой фигни.
То ли игруля какая то, то ли червь, то ли спам или еще что...

Заходил на тот сайт, там по испански все, что ли. На антивир сайты походил не нашел про ничего. Завтра с утра займусь расследованием.
Никто не наступал на грабли :?:
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Иван Левшин aka Ivan L. » 01 окт 2003, 18:57

Я такое видел, когда на порнуху у меня один умник лазил... Закрой правилами и все
Иван Левшин aka Ivan L.
 
Сообщения: 2365
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Владимир Горяев » 02 окт 2003, 09:11

Иван Левшин aka Ivan L. писал(а):Я такое видел, когда на порнуху у меня один умник лазил... Закрой правилами и все
...HTTP/1.1" 403 3598...Изначально было запрещено и без доп правил :D
Размер лога в день когда инета не было 65М, 422304 строк, в основном типа тех, что выше, сотни запросов в секунду, напрягается проц, иногда под 100%, сет интерфейс, такими темпами скоро место пд логи закончиться итд...
Начинаю разбор.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Причину нашел, мля..

Сообщение Владимир Горяев » 02 окт 2003, 09:51

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
...
"Spees1"="C:\\WINDOWS\\Speedy.scr"


Бум искать откуда взялось
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Владимир Горяев » 02 окт 2003, 10:56

Пресс-релиз №193 от 23/09/2003
Появилась версия «Y» червя Opaserv

Екатеринбург, 23.09. 2003 - Вирусная Лаборатория PandaLabs обнаружила версию «Y» червя Opaserv.По данным, предоставленным международной Службой технической поддержки Panda Software, данный вредоносный код уже стал причиной заражений компьютеров.

В поисках своих жертв Opaserv.Y распространяется по сети Интернет. Opaserv.Y попадает на компьютер через порт 139 и копирует себя в папку C:\\\\Windows под именем Speedy.scr. В то же время червь создает несколько записей в Реестре Windows для обеспечения автоматической активации при каждом запуске компьютера. Если зараженный компьютер подключен к сети, Opaserv.Y использует брешь в Windows, известную как Share Level Password (основанную на несостоятельности защиты общих сетевых ресурсов в операционных системах Windows Me/98/95), для распространения на все остальные компьютеры данной сети.

К настоящему моменту Лаборатория PandaLabs обнаружила две версии Opaserv.Y. Различие заключается в используемой утилите сжатия. Одним из признаков данного червя является то, что при его запуске в окне MS-DOS на экран выводится не стандартное сообщение: “Данная программа требует MS Windows”, а одно из следующих:

Telefonica ganhe menos e faca mais!!
Queremos melhores servicos da SPEEDY
Melhorem o servico Speed seus FDPS!!

По причине появления случаев заражения и для того, чтобы не стать новой жертвой Opaserv.Y, компания Panda Software советует пользователям с осторожностью обращаться со всеми полученными сообщениями и немедленно обновить свои антивирусные продукты. Компания уже выпустила обновления для своих продуктов, позволяющие последним обнаруживать и уничтожать Opaserv.Y. Те пользователи, чьи программы не настроены на автоматическое обновление, могут обновить их на веб сайте компании по адресу http://www.pandasoftware.com/.

Кроме того, пользователи могут проверить свои компьютеры с помощью бесплатного онлайнового антивируса Panda ActiveScan, находящегося на веб сайте компании по адресу http://www.viruslab.ru. Более подробную информацию о Opaserv.Y Вы найдете в Вирусной Энциклопедии Panda Software.

О Вирусной лаборатории Panda Software

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Грустная стория...

Сообщение Владимир Горяев » 02 окт 2003, 12:19

Некие любимчики выс. рук. имеют инетную карту и когда не было инету сходили по момеду... От сетки то были отрублены в долгое время и антивирь не обновлялся. Потом подключились и понеслось.
Тему можно закрыть.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Иван Левшин aka Ivan L. » 02 окт 2003, 12:35

403 я и не заметил. Сорри ))) За предупреждение - пасиб
Иван Левшин aka Ivan L.
 
Сообщения: 2365
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 4

cron