Re: Peticiones "extrañas", Apache2
El dia Fri, 13 May 2005 09:31:19 +0200
gesala gesala <gesala@gmail.com> escribió:
> Hola a todos:
Aupa,
> 81.192.173.101 - - [13/May/2005:03:31:50 +0200] "GET
> /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%uc
> bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00
> %u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 317 "-" "-"
Típicos gusanos para IIS. Si tienes apache, no problem.
> 61.74.254.142 - - [13/May/2005:03:35:25 +0200] "CONNECT
> maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-"
> 61.74.254.142 - - [13/May/2005:03:35:26 +0200] "CONNECT
> maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-"
> 61.74.254.142 - - [13/May/2005:03:35:28 +0200] "CONNECT
> maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-"
Con esto, están comprobando si tienes un proxy para poder enviar spam
(seguramente) a través de él. Comprueba que no tienes el módulo proxy de
Apache cargado y si es así y lo necesitas, aplica la directiva Limit a
CONNECT (aunque con el 405 ya te está diciendo que no está permitido ese
método).
> Tengo un mosqueo de la leche .
> Parece en la 1º y ultima peticion el servidor apache les da un error
> 404. Me equivoco? y las lineas del medio no las logro entender.
Efectivamente, 404, Not Found.
> Por otra parte, tengo un servidor ssh y de vez en cuando veo intentos
> de login desde una ip "extraña", la cual intenta logearse
> repetidamente con nombres ingleses, por supuesto no logra entrar ya
> que mi maquina no tiene esos nombres. Hay alguna forma de bloquear
> durante un tiempo una ip que intenta logearse y falla por ejemplo 3
> veces?
> O alguna otra idea?
Hombre, siempre puedes mirar los logs, comprobar qué IP es la que está
intentando hacer login repetidamente y añadir una regla de IPTables.
agur!
split.
Reply to: