Re: Ataques al server
> Otra mas:
>
> el tio / virus de la siguiente direccion me esta tratando de hackear
> desde hace algunos dias, el log es este:
>
> 148.245.159.103 - - [07/Aug/2002:14:23:56 -0500] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 287 "-" "-"
> 148.245.159.103 - - [07/Aug/2002:14:24:08 -0500] "GET
> /MSADC/root.exe?/c+dir HTTP/1.0" 404 285 "-" "-"
> 148.245.159.103 - - [07/Aug/2002:14:29:29 -0500] "-"
> 408 - "-" "-"
> Ideas acerca de este tipo de ataque??
Ummm... No tienes de que preocuparte - es un ataque contra IIS, eres
inmune :) Y yo creo que es un gusano, no una persona que esta intentando
atacar personalmente, que ya se hubiera dado cuenta que no sirve ese
exploit.
> Ya intente rastrear la ip pero el trace route se
> cuelga, porque??
Me parece que 148.245 son los dial-up de Prodigy/Telmex. Pero bueno...
Intenta traceroute -n 148.245.159.103 - esto evita que tenga que resolver
el nombre de cada direccion que va encontrando. Yo llegue casi de
inmediato, con 12 brincos. Resuelve unicamente las ultimas direcciones,
para ver por donde esta. De hecho, tan facil como esto:
$ host 148.245.159.103
103.159.245.148.in-addr.arpa domain name pointer na-159-103.na.avantel.net.mx.
Ahi lo tienes, es un dialup de Avantel.
Saludos,
--
Gunnar Wolf - gwolf@campus.iztacala.unam.mx - (+52-55)5623-1118
PGP key 1024D/8BB527AF 2001-10-23
Fingerprint: 0C79 D2D1 2C4E 9CE4 5973 F800 D80E F35A 8BB5 27AF
Reply to: