Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.

Dismiss

ataque a APACHE

4 views

Skip to first unread message

cro...@gmail.com

unread,

Sep 10, 2007, 8:04:27 PM9/10/07

Hola, varias veces he sufrido lo que yo considero que es un ataque
distribuido contra mi apache (en un sitio corporativo bastante
grande).

Mirando los logs del sistema (el access.log) del apache puedo ver que
repetidamente figuran cientos de miles de lineas con este comando que
no puedo
entender:

87.10.120.128 - - [10/Sep/2007:21:26:46 -0300] "NICK JAURESB9059133"
400 226 "-" "-"

el parametro posterior a NICK (en este caso JAURESB9059133) cambia
permanentemente.

Actualmente resolvi de forma drástica: un script que busca el string,
parsea con AWK y agrega esos IP a mi secript de IPTABLES con un
DROP .. pero esa
solucion va a terminar dejando afuera a alguien (ya lleva baneadas
cientos de IP's) ..

Alguien sabe algo sobre esto? .. quien puede tener tantas direcciones
IP apuntando
a un sitio en particular? .. se me ocurre que solo alguien que tenga
un virus o gusano
diseminado .. ¿que es ese comando NICK?.

Gracias por la ayuda,
Saludos

0 new messages