Http

Hola, perdona por la pregunta pero es que he montado un pequeño servidor web y desde que lo he montado tengo en el registro del log, casi todos los días, lo siguiente:
213.60.118.181 - - [06/Apr/2002:20:28:24 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 311 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:25 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 309 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:26 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:28 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:31 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:34 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 350 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:38 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 350 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:41 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 366 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:43 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:44 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:45 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:45 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:46 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 316 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:48 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 316 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:48 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
213.60.118.181 - - [06/Apr/2002:20:28:49 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333 "-" "-"
148.240.200.208 - - [07/Apr/2002:14:56:46 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 353 "-" "-"
212.51.52.7 - - [08/Apr/2002:01:24:05 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/3.01 (compatible;)"
66.28.98.1 - - [08/Apr/2002:01:47:34 +0200] "GET /robots.txt HTTP/1.0" 404 305 "-" "ia_archiver"
66.28.98.1 - - [08/Apr/2002:01:47:35 +0200] "GET /foro/portal.php HTTP/1.0" 200 6766 "-" "ia_archiver"
66.28.98.1 - - [08/Apr/2002:02:19:46 +0200] "GET /robots.txt HTTP/1.0" 404 305 "-" "ia_archiver"
66.28.98.1 - - [08/Apr/2002:02:19:46 +0200] "GET /grafo/inicio.html HTTP/1.0" 200 600 "-" "ia_archiver"
66.28.98.4 - - [08/Apr/2002:03:09:48 +0200] "GET /robots.txt HTTP/1.0" 404 305 "-" "ia_archiver"
66.28.98.4 - - [08/Apr/2002:03:09:50 +0200] "GET /noticias/index.php HTTP/1.0" 200 41557 "-" "ia_archiver"
He conseguido ponerme en contacto con los propietarios de las IP´s para que se dirijan a las personas que están intentando acceder al equipo, pero no me han contestado. Intentan siempre acceder con IP´s dinámicas y como puedes ver los tiempos de acceso son muy pequeños y no me da tiempo a reaccionar.
He abierto el puerto 443 para comprobar si intentan acceder a varios puertos pero en el log del puerto no aparece nada.
El equipo está protegido por un firewall y sólo tengo abierto el puerto 80 y 443.
Estoy bastante perdido, ¿alguna idea?. ¿Cómo podría enviar una notificación a esa IP cuando intentase acceder al puerto para que tome nota de que el equipo al que quiere conectarse no es el correcto?
Mucha gracias,
Francisco Vidal
1

1 respuesta

Respuesta
1
Desviar Worms con Apache:
Estas visitas son generadas por worms residentes en PCs clientes de Internet. No se pueden evitar, sólo desviar.
En Apache, puedes desviar todas esas solicitudes mediante la funcionalidad que aporta el módulo mod_alias, introduciendo la siguiente configuración en httpd.conf:
### anti-worms
<IfModule mod_alias.c>
RedirectMatch permanent .*/scripts/root\.exe.* http://www.midominio.com/error-worms.html
RedirectMatch permanent .*/MSADC/root\.exe.* http://www.midominio.com/error-worms.html
RedirectMatch permanent .*system32/cmd\.exe.* http://www.midominio.com/error-worms.html
RedirectMatch permanent .*MSOffice/cltreq.asp.* http://www.midominio.com/error-worms.html
RedirectMatch permanent .*_vti_bin/owssvr.dll.* http://www.midominio.com/error-worms.html
RedirectMatch permanent .*_vti_bin/shtml.exe/_vti_rpc.* http://www.midominio.com/error-worms.html
RedirectMatch permanent .*_vti_inf.html.* http://www.midominio.com/error-worms.html
</IfModule>
Gracias por tu ayuda y por supuesto de tus conocimientos ya me ha sido de gran utilidad, puesto que no sabía cómo evitar estos molestos registros.
Con respecto al link, en breves fechas, no te puedo decir exactamente cuando, pero espero que sea a finales de julio, lo insertaré en la página del dominio que estoy administrando.

Añade tu respuesta

Haz clic para o

Más respuestas relacionadas