RES: [FUGSPBR] OPASERV.H (www.instituto.com.br/attackDoS.php)
Kleyson Rios
lista em aganp.go.gov.br
Seg Set 29 15:43:02 BRT 2003
Os sites que o opaserv tenta acessar sao:
www.opasoft.com
www.n3t.com.br
www.institucional.com.br
E a melhor forma que vc tem é limpar as maquinas. Eu tive aqui um problema
muito serio com ele, por eu ter uma quantidade grande de clientes o virus
alem de consumir muita banda de internet estava causando um DoS no meu
squid.
[]'s Kleyson Rios.
-----Mensagem original-----
De: fugspbr-bounces em fugspbr.org [mailto:fugspbr-bounces em fugspbr.org]Em
nome de Rogerio Heringer
Enviada em: segunda-feira, 29 de setembro de 2003 14:03
Para: Grupo Brasileiro de Usuarios FreeBSD
Assunto: [FUGSPBR] OPASERV.H (www.instituto.com.br/attackDoS.php)
root@(server2/ttyp0)[~]# tail -f /var/squid/logs/access.log |grep ins
1064862024.208 7 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.436 7 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.664 11 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.794 6058 200.141.231.40 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.795 11 200.141.231.134 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/html
1064862024.836 7 200.141.231.33 TCP_MISS/404 532 GET
http://www.instituto.com.br/attackDoS.php? - DIRECT/127.0.0.1 text/
...
olhando os logs do squid verifiquei q tem maquinas na rede contaminadas com
o opaserv ...
gostaria de saber quais paginas o opaserv tenta abrir como essa do instituto
(o site mesmo ja foi ateh desativado pelo DoS gigante)
queria saber se tem outro site na mira do atake.
queria saber tb se tem como barrar isso no PF ou no IPFW ....
as portas 135 a 139 ja foram barradas...
[]'s
Rogerio Heringer
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd