[FUGSPBR] OPASERV.H (www.instituto.com.br/attackDoS.php)
Rogerio Heringer
rogerio em aeronet.com.br
Seg Set 29 14:02:48 BRT 2003
root@(server2/ttyp0)[~]# tail -f /var/squid/logs/access.log |grep ins
1064862024.208 7 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.436 7 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.664 11 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.794 6058 200.141.231.40 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.795 11 200.141.231.134 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.836 7 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/
...
olhando os logs do squid verifiquei q tem maquinas na rede contaminadas com
o opaserv ...
gostaria de saber quais paginas o opaserv tenta abrir como essa do instituto
(o site mesmo ja foi ateh desativado pelo DoS gigante)
queria saber se tem outro site na mira do atake.
queria saber tb se tem como barrar isso no PF ou no IPFW ....
as portas 135 a 139 ja foram barradas...
[]'s
Rogerio Heringer
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd