[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Salida rara en Apache (tail -f /var/log/apache.log)

El Fri, 30 Sep 2011 00:47:34 -0300, leos.listas@gmail.com escribió:

> Viendo la salida de mi Apache veo lo siguiente:
> 
> 184.22.207.34 - - [29/Sep/2011:11:46:42 -0300] "POST
> /password.cgi?usrPassword=dnschange HTTP/1.1" 404 315 "-" "curl/7.19.7
> (x86_64-unknown-linux-gnu) libcurl/7.19.7 NSS/3.12.6.2 zlib/1.2.3
> libidn/1.18 libssh2/1.2.2"

(...)

Un formulario que se llama password.cgi (envío de datos). ¿Existe en tu 
servidor?

> 184.22.207.34 - - [29/Sep/2011:11:46:44 -0300] "POST /dnscfg.cgi
> HTTP/1.1" 404 313 "-" "curl/7.19.7 (x86_64-unknown-linux-gnu)
> libcurl/7.19.7 NSS/3.12.6.2 zlib/1.2.3 libidn/1.18 libssh2/1.2.2"

Este parece otro formulario o script que se llama "dnscfg.cgi", también 
intentan un envío de datos. ¿Existe ese recurso?

> 184.22.207.34 - - [29/Sep/2011:11:46:44 -0300] "GET /rebootinfo.cgi
> HTTP/1.1" 404 317 "-" "curl/7.19.7 (x86_64-unknown-linux-gnu)
> libcurl/7.19.7 NSS/3.12.6.2 zlib/1.2.3 libidn/1.18 libssh2/1.2.2"

Y aquí intentan obtener otro que se llama "rebootinfo.cgi".

> Alguien sabe que puede ser lo que trataron de ejecutar?

Si los recursos existen, podría ser normal, pero lo que me escama un poco 
es el navegador que usan en la petición (curl), eso quiere decir que 
están ejecutando esos procesos desde algún tipo de script, no desde un 
navegador al uso. 

Otra cosa que me escama es la IP, parece sospechosa ("hostnoc.net", 
centro de hospedaje que como cualquiler otro es perfecto para lanzar 
ataques masivos...).

Saludos,

-- 
Camaleón
Reply to: